So funktionieren FIDO und FIDO2/WebAuthn
Wie funktioniert es und wer kanns?
So funktioniert es
Sowohl ein PC als auch viele Handys haben einen separaten Kryptochip (beispielsweise TPM) schon eingebaut. Für Konten, die man auf mehr als einem Gerät nutzt, kann man auch einen separaten Hardware-Schlüssel kaufen, zum Beispiel einen YubiKey von Yubico (in der Schweiz unter yubikey.ch zu erstehen). Folgendes passiert, wenn Sie sich bei einem FIDO2-fähigen Dienst mit einem FIDO2-tauglichen Schlüssel wie zum Beispiel mit einem YubiKey registrieren: Als Benutzernamen verwenden Sie weiterhin beispielsweise Ihre Mailadresse. Ihr YubiKey erzeugt nun für diese Seite einen privaten sowie einen öffentlichen Schlüsselcode. Der Dienst erhält den öffentlichen Schlüssel, während der YubiKey den privaten Schlüssel für sich behält. Wenn Sie sich später wieder bei diesem Dienst einloggen wollen, geben Sie Ihren Benutzernamen ein und stöpseln den Key an. Der Server schickt nun eine spezielle Anfrage (genannt Challenge, zu Deutsch etwa Herausforderung) an den Key. Dieser beantwortet diese Anfrage korrekt und mit einer Signatur aufgrund des privaten Schlüssels. Der Server kann anhand der Signatur entscheiden, ob es der richtige Key ist.
Dass jeweils noch eine Taste berührt oder ein Knopf gedrückt werden muss, hat nichts mit einem Fingerabdruck oder Ähnlichem zu tun, sondern nur damit, dass der Dienst sicherstellen will, dass jetzt gerade ein Mensch (im Idealfall der Besitzer) an diesem PC sitzt. Viele Nutzer stecken ihren Key dauerhaft ein. Das Drücken eines Knopfs oder Berühren eines Sensors stellt sicher, dass niemand aus der Ferne (etwa über einen Trojaner) den angesteckten Key nutzen kann, während der Besitzer vielleicht gerade nicht am PC sitzt.
Hintergrund: wichtige Begriffe
FIDO-Allianz
Eine Technologie-Allianz, der nebst Sicherheitsorganisationen auch kommerzielle und Finanzunternehmen angehören. Laut Mitgliederliste sind einige sehr bekannte Namen an Bord: Betriebssystemhersteller wie Apple, Google und Microsoft, Prozessorhersteller wie ARM, Infineon, Intel und Qualcomm, Hardware-Hersteller wie Huawei, Lenovo, LG oder Samsung, Entwickler und Implementierer von Onlinediensten wie etwa das Schweizer Software-Unternehmen AdNovum, ferner Amazon, American Express, eBay, Facebook, Mastercard, Netflix, PayPal, Twitter und Visa – und dann wäre auch noch Mozilla dabei und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).
Eine Technologie-Allianz, der nebst Sicherheitsorganisationen auch kommerzielle und Finanzunternehmen angehören. Laut Mitgliederliste sind einige sehr bekannte Namen an Bord: Betriebssystemhersteller wie Apple, Google und Microsoft, Prozessorhersteller wie ARM, Infineon, Intel und Qualcomm, Hardware-Hersteller wie Huawei, Lenovo, LG oder Samsung, Entwickler und Implementierer von Onlinediensten wie etwa das Schweizer Software-Unternehmen AdNovum, ferner Amazon, American Express, eBay, Facebook, Mastercard, Netflix, PayPal, Twitter und Visa – und dann wäre auch noch Mozilla dabei und das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI).
FIDO /U2F
Ein Standard, der von der FIDO-Allianz gepflegt und gefördert wird. Bei FIDO/U2F kann ein hardwaremässiger Sicherheitsschlüssel nur als zweiter Faktor neben einem Passwort dienen.
Ein Standard, der von der FIDO-Allianz gepflegt und gefördert wird. Bei FIDO/U2F kann ein hardwaremässiger Sicherheitsschlüssel nur als zweiter Faktor neben einem Passwort dienen.
FIDO2
Eine Weiterentwicklung von FIDO/U2F in Zusammenarbeit mit dem W3C (World Wide Web Consortium w3.org). FIDO2 ist mit U2F in jeder Hinsicht rückwärtskompatibel. Es verzahnt sich perfekt mit dem API-Standard «WebAuthn» des W3C. Theoretisch ist mit diesem Standard ein komplett passwortloses, sicheres Anmelden bei Onlinediensten möglich; Benutzername angeben und den Schlüssel zeigen – fertig.
Eine Weiterentwicklung von FIDO/U2F in Zusammenarbeit mit dem W3C (World Wide Web Consortium w3.org). FIDO2 ist mit U2F in jeder Hinsicht rückwärtskompatibel. Es verzahnt sich perfekt mit dem API-Standard «WebAuthn» des W3C. Theoretisch ist mit diesem Standard ein komplett passwortloses, sicheres Anmelden bei Onlinediensten möglich; Benutzername angeben und den Schlüssel zeigen – fertig.
WebAuthn
Das ist die zum FIDO2-Standard passende Programmierschnittstelle (API: Application Programming Interface), die Webseitenbetreiber auf ihren Servern verwenden. Diese Anwendungsprogrammierschnittstelle ist quasi die Andockmöglichkeit zwischen Diensten und/oder Funktionen. Unzählige Webdienste nutzen inzwischen Logins mit einer WebAuthn-Implementierung.
Das ist die zum FIDO2-Standard passende Programmierschnittstelle (API: Application Programming Interface), die Webseitenbetreiber auf ihren Servern verwenden. Diese Anwendungsprogrammierschnittstelle ist quasi die Andockmöglichkeit zwischen Diensten und/oder Funktionen. Unzählige Webdienste nutzen inzwischen Logins mit einer WebAuthn-Implementierung.
CTA P2
Das zugehörige «Client to Authenticator Protocol» (CTAP und CTAP2) ist quasi die «Sprache», die zwischen dem Sicherheitschip/-schlüssel des Nutzers und seinem Browser gesprochen wird.
Das zugehörige «Client to Authenticator Protocol» (CTAP und CTAP2) ist quasi die «Sprache», die zwischen dem Sicherheitschip/-schlüssel des Nutzers und seinem Browser gesprochen wird.
Kryptografie/TPM-Chip
Ein gesonderter Chip, der im oder am Gerät des Nutzers die öffentlichen und privaten Schlüssel verwaltet. Dies kann ein eingebauter Chip im PC oder Smartphone des Nutzers sein; bei PCs/Notebooks wäre beispielsweise der TPM-Chip zuständig. Man kann hierfür stattdessen auch einen separaten USB- oder NFC-Schlüssel wie zum Beispiel den YubiKey verwenden.
Ein gesonderter Chip, der im oder am Gerät des Nutzers die öffentlichen und privaten Schlüssel verwaltet. Dies kann ein eingebauter Chip im PC oder Smartphone des Nutzers sein; bei PCs/Notebooks wäre beispielsweise der TPM-Chip zuständig. Man kann hierfür stattdessen auch einen separaten USB- oder NFC-Schlüssel wie zum Beispiel den YubiKey verwenden.
Token
Oftmals ist bei Herstelleranleitungen von einem «Token» die Rede. Gemeint ist in diesem Zusammenhang etwas wie ein Identifizierungsgerät. Das ist dann beispielsweise wieder der TPM-Chip in Ihrem PC oder der angestöpselte FIDO2-Stick wie etwa der YubiKey.
Oftmals ist bei Herstelleranleitungen von einem «Token» die Rede. Gemeint ist in diesem Zusammenhang etwas wie ein Identifizierungsgerät. Das ist dann beispielsweise wieder der TPM-Chip in Ihrem PC oder der angestöpselte FIDO2-Stick wie etwa der YubiKey.
Wer kanns?
Alle gängigen Webbrowser wie Edge, Firefox oder Chrome unterstützen FIDO2/WebAuthn. Ab Android 7.0 läuft das mit Smartphones genauso wie mit Windows 10 auf allen Geräten, die damit ausgeliefert wurden.
Sollte ein Gerät oder Betriebssystem selbst keinen FIDO2-tauglichen Chip mitbringen, gibt es entsprechende USB- oder NFC-Sticks, mit denen das klappt, so zum Beispiel den YubiKey. Das funktioniert auch mit macOS, Linux oder ChromeOS; und mit iOS 13 und spätestens mit Safari 13 können auch iPhones und iPads FIDO2-Sticks via NFC nutzen. Yubico ist zwar nur einer von mehreren Herstellern, die FIDO2-taugliche Sticks zur Nutzung via USB, Lightning oder NFC produzieren, aber der Katalog der Onlinedienste, die damit funktionieren, ist schon recht gross: yubico.com/works-with-yubikey/catalog. Die meisten dort erwähnten Dienste funktionieren auch mit anderen FIDO2-fähigen Lösungen, nicht nur mit dem YubiKey.