WebAuthn und FIDO2
(Quelle: Ponemon "The 2019 State of Password (...) Report")
Jerrod Chong, Chief Solutions Officer bei Yubico, vertritt die Ansicht, dass die Passwörter (noch) nicht tot sind, sondern sich vielmehr weiterentwickeln: „Es wird sich sicher nicht über Nacht ein vollständiges Ende der Passwörter ereignen - aber wir sind auf dem Weg zu einigen signifikanten Weiterentwicklungen in den nächsten Jahren. Das ist hauptsächlich auf die aktuelle Standardisierung von WebAuthn durch das W3C zurückzuführen.“
WebAuthn steht für einen vom World Wide Web Consortium (W3C) veröffentlichten Standard zur Authentifizierung von Usern im Web. Er ermöglicht die Authentifizierung von Benutzern ohne ein Passwort und basiert auf Public-Key-Verfahren und der Nutzung von Faktoren wie biometrischen Merkmalen,
Hardware-Token oder Smartphones. Zahlreiche Browser, Betriebssysteme und Internetanwendungen unterstützen das Verfahren bereits.
WebAuthn ist ein wichtiges Ergebnis des FIDO2-Projekts der FIDO-Alliance (Fast IDentity Online). Die Technik wurde ursprünglich bereits 2011 von Yubico und Google als offener Authentifizierungsstandard FIDO Universal Second Factor (FIDO U2F) entwickelt, um die Abhängigkeit von Passwörtern zu reduzieren und besser vor Phishing, Man-in-the-Middle- und Replay-Attacken zu schützen, bei denen gestohlene Passwörter benutzt werden.
Mehrere Firmen, darunter Microsoft und Yubico, haben sich seitdem zur gemeinnützigen FIDO Alliance mit dem Ziel zusammengeschlossen, international gültige Standards zur Authentifizierung im Internet zu entwickeln. Gemeinsam haben sie als Weiterentwicklung von FIDO U2F den offenen Standard FIDO2 geschaffen. Gerade Hersteller der verschiedenen Security-Token dürften diesen Standard in naher Zukunft immer häufiger unterstützen.
Microsoft bietet mit Windows 10 zudem eine direkte Unterstützung für eine passwortfreie Anmeldung mittels FIDO2 an. Auch viele Webseiten wie Twitter, Dropbox, Google und Amazon unterstützen diesen Standard schon. Auf der Website Webauthn.io können Anwender sich testweise per WebAuthn registrieren und einloggen.
Fazit & Ausblick
Die Einigkeit der Fachleute hinsichtlich der Schwächen von Passwörtern ist bemerkenswert. Geht es aber um die Frage, welche Alternativen Unternehmen und Nutzer einsetzen sollen, so ist das Bild weniger klar: Zwar betonen alle von com! professional befragten Experten, dass es unbedingt einfach zu handhabende Methoden sein müssten, die gleichzeitig sicher zu sein hätten. In der Praxis sind diese allerdings nicht eben leicht zu finden und fast jeder Anbieter entsprechender Lösungen präferiert einen etwas anderen Ansatz.
Hier gilt eine anscheinend fundamentale Erkenntnis, die auf fast alle Bereiche der IT-Sicherheit zutrifft: Je höher die Sicherheit, desto größer der Aufwand, der mit dem Einsatz dieser Maßnahmen verbunden ist. Dabei spielt es keine Rolle, ob man Nutzer im Business- oder im Consumer-Umfeld fragt: Sichere Methoden wie die Zweifaktor-Authentifizierung werden häufig nicht verwendet, weil „das so umständlich ist“. Für Unternehmen und deren CIOs und IT-Verantwortliche kann das nur heißen: Es müssen unternehmensweite Verfahren eingeführt werden, die alle Mitarbeiter leicht und schnell einsetzen können und deren administrativer Aufwand sich in Grenzen hält.
Hier bietet es sich an, physische Sicherheitsschlüssel oder Geräte, die entsprechende biometrische Verfahren unterstützen, zu wählen. Aber auch die verhaltensbasierte Biometrie ist nicht allein in der Lage, vollständige Sicherheit zu gewährleisten. Die Lösung liegt darin, traditionelle Authentifizierungsmethoden wie Passwörter mit Token, SMS-Verifikation, Smart Cards oder auch mit biometrischer Authentifizierung zu kombinieren.
Wenn beispielsweise der Einsatz von FIDO2-Sicherheitsschlüsseln Teil der Firmenrichtlinien ist und konsequent durchgesetzt wird, dann kann ein Unternehmen mittelfristig auf den Einsatz der konventionellen Passwort-Benutzername-Methode verzichten. Single-Sign-on-Lösungen und der Einsatz von Passwort-Managern (für die Passwörter, die auch dann immer noch gebraucht werden) ergänzen diese Art des Vorgehens. Wir werden also sicher noch eine ganze Weile Passwörter und Benutzernamen einsetzen - wenn auch nur als eine Komponente einer Multi-Faktor-Authentifizierung.
Anbieter |
Produkt/Dienst (Beispiele) |
Funktionen und Besonderheiten |
Eset
|
Eset Security Authentication |
Softwarebasierte Zweifaktor-Authentifizierung zur Absicherung der Unternehmensanmeldungen speziell für Businesskunden. Hier kommt eine mobilbasierte Push-Authentifizierung zum Einsatz |
Microsoft
|
Windows Hello for Business, Azure Multi-Factor Authentication |
Windows Hello/Hello for Business Teil des Betriebssystems Windows 10 |
MobileIron
|
Zero-Sign-on |
Anmeldeverfahren, das laut Anbieter gänzlich ohne Passwort auskommt. Basiert auf einem Mobile-zentrierten Unified Endpoint Management. Verwendet Smartphone zum Anmelden |
One Identity
|
Password Manager, Identity Manager |
One Identity bietet Lösungen im Bereich Multi-Faktor-Authentifizierung an, sowohl cloudbasiert als auch On-Premise |
Synopsys Software Integrity |
Security-Services |
Synopsys erstellt Authentifizierungs-Workflows und unterstützt
Unternehmen beim Aufbau von Sicherheitsanforderungen, Entwurfsmustern sowie wiederverwendbaren Bibliotheken und Frameworks |
Yubico |
YubiKey |
FIDO- und FIDO2-kompatible Hardware als sogenannter Security-Key. Arbeitet sowohl mit PCs als beispielsweise auch mit Android- und iOS-Geräten zusammen. Verbindung über NFC (Nearfield Communication) ist ebenfalls möglich |
