So funktionieren FIDO und FIDO2/WebAuthn

Testen auf webauthn.io

Haben Sie ein neueres Android-Handy oder einen Windows-10-PC mit aktiviertem Windows Hello (Fingerabdruck, PIN, Gesichtserkennung)? Dann surfen Sie damit mal mit dem Browser Edge oder Google Chrome auf die Webseite webauthn.io. Dort können Sie das Registrieren und Einloggen mit einem FIDO2-Schlüssel ausprobieren. Tippen Sie irgendeinen Benutzernamen ein. Wählen Sie bei Authenticator Type im Falle des Smartphones oder Windows-10-PCs die Option Platform (TPM). Klicken Sie auf Register. Nun fragt Ihr Gerät nach dem Fingerabdruck oder einer PIN, den/die Sie auf dem Gerät verwenden. Fertig – Sie sind registriert. Das Einloggen geht dann genauso einfach: Tippen Sie den Benutzernamen ein, tippen Sie auf Login, nun fragt beispielsweise das Android-Handy nach einem Fingerabdruck – voilà. Die auf der Site webauthn.io für Testzwecke angelegten Benutzernamen werden übrigens nach 24 Stunden gelöscht.
Ganz so einfach ist es leider bei den meisten Diensten noch nicht. Viele unterstützen nur U2F und akzeptieren den FIDO2-Schlüssel des Geräts oder des zusätzlich einsteckbaren Keys nur als zweiten Faktor, etwa anstelle einer SMS oder Mobile-ID.
Bild 1: Gegenprobe auf dem Handy – nach dem Eintippen des Benutzernamens und Antippen von Login bittet die Seite um den NFC-tauglichen Schlüssel
Quelle: PCtipp.ch
Ein weiteres Problem ist auch, dass jeder PC und jedes Smartphone natürlich einen eigenen Kryptochip besitzt. Darum werden Sie dennoch für jeden Dienst mindestens eine weitere Login-Möglichkeit einrichten müssen. Hier können Sie weiterhin auf ein gutes Passwort und Zwei-Faktor-Authentifizierung setzen. Oder Sie registrieren für diese Dienste einen oder besser zwei separat erhältliche FIDO2-Schlüssel, wie zum Beispiel jene von Yubico (die YubiKey-5-Serie). Einen der Schlüssel werden Sie stets dabeihaben und können sich daher an jedem PC in diese Konten einloggen.

Gegenprobe auf dem Smartphone

Bild 2: Nur Sekunden, nachdem wir den YubiKey auf die Handy-Unterseite halten, sind wir eingeloggt
Quelle: PCtipp.ch
Wir haben einen YubiKey 5 NFC, den wir auf einem Desktop-PC für die Beispiel-Registrierung bei webauthn.io verwendet haben. Dieser kommt nebst USB auch mit NFC klar. Unter Windows haben wir einen Test-Account anhand des YubiKey eröffnet. Am Smartphone war mit NFC anschliessend ein völlig problemloses Einloggen möglich: Wir öffnen also einmal die webauthn.io-Seite auf dem Android-Smartphone und tippen den Benutzernamen ein, gefolgt vom Antippen von Login. Jetzt reicht es völlig, den vorhin auf dem Desktop-Computer für den Test-Account registrierten YubiKey ans Smartphone zu halten und – schwups! – wir sind drin, Bilder 1 und 2. Kein hakeliges Eintippen eines Passworts ist mehr notwendig.




Das könnte Sie auch interessieren