So funktionieren FIDO und FIDO2/WebAuthn

Der Schutz von Geräten und der damit zusammenhängenden Konten wird immer wichtiger, je mehr via Internet abgewickelt wird. Ein hoher Grad an Sicherheit macht den Umgang mit den vielen Onlinediensten jedoch umständlich.

Für jeden Dienst ein anderes Passwort zu verwenden, ist zwar wichtig. Damit es aber nicht zu schnell erraten werden kann, muss ein Kennwort möglichst kompliziert sein. Sobald ein Angreifer in einen Onlineshop einbricht und sofern die Passwörter dort vielleicht sogar im Klartext gespeichert sind, nützt das beste Passwort nichts. Auch Phishing ist eine Gefahr für Passwörter. Damit versuchen Kriminelle, arglose Nutzer auf gefälschte Webseiten zu locken und ihnen die Zugangsdaten abzuluchsen. Ein reines Login mit Benutzernamen und Passwort mag für Webforen sicher genug sein. Für Onlineshops, E-Banking und Ihre Krankenkasse reicht das aber nicht - und ebenso wenig für Ihren Google- oder Microsoft-Account. Denn in solchen Accounts steckt Ihr ganzes Leben drin: persönliche Fotos, Dokumente, Mails, Kontakte et cetera.

Darum werden besonders wichtige Onlinekonten meist mit einer weiteren Maßnahme abgesichert: der Zwei-Faktor-Authentifizierung (2FA). Bei dieser geht es darum, auf einem separaten Kanal oder Gerät einen Einmal-Code anzuzeigen, den man beim Einloggen zusätzlich zu Benutzernamen und Passwort eingeben muss. Der zweite Kanal kann eine SMS auf dem Smartphone sein, eine Mobile-ID oder eine Authenticator-App. Damit reicht es fürs Login nicht mehr, bloß den Nutzernamen und das zugehörige Passwort eines Dienstes zu kennen. Jemand kommt mit Ihren Anmeldedaten nur in eins Ihrer Konten rein, wenn er zusätzlich die Kontrolle über diesen zweiten Kanal hat. Das ist zwar schon eine erhebliche Steigerung der Sicherheit, bleibt aber dennoch ziemlich kompliziert.

Das ist relativ umständlich, denn es erfordert weiterhin, dass man für jeden Dienst ein separates Passwort erzeugt und all die Kennungen sowie den Zweitkanal stets griffbereit hat. Klar - es gibt Passwortverwaltungen, die einen Teil der Arbeit übernehmen. Aber auch die müssen gepflegt werden und auch bei diesen ist das Entlocken des zugehörigen Passworts oft etwas umständlich.

Genau da setzt der FIDO- bzw. FIDO2-Standard an. Die Abkürzung FIDO steht für "Fast IDentity Online". Dies ist ein Authentifizierungsstandard, der eine vereinfachte Anmeldung bei Geräten und Webdiensten ermöglicht - ohne auf eine hohe Sicherheitsstufe verzichten zu müssen.

Die Funktion "Windows Hello" von Windows 10 erlaubt das Anmelden auf dem Computer anhand der Gesichtserkennung, eines Fingerabdrucks oder einer PIN. Diese Anmeldeelemente werden nirgendwohin via Web übertragen, sondern dienen einzig auf dem lokalen Gerät zur Identifikation des Nutzers. Dabei werden die erforderlichen Schlüssel im TPM-Chip (Trusted Platform Module) des Computers verwahrt.

Beim ursprünglichen FIDO-/U2F-Standard ist neben dem Nutzernamen und den Daten im TPM-Chip noch mindestens ein weiteres Anmeldeelement erforderlich - etwa ein Passwort. Bei der Weiterentwicklung FIDO2 ist das zwar ebenfalls möglich und meistens sogar sinnvoll, aber bei manchen Diensten nicht mehr unbedingt Pflicht: Im einfachsten Fall genügt die Eingabe des Benutzernamens oder der Mailadresse, anschließend muss die Registriermethode mit dem Sicherheitsschlüssel gewählt werden. Hierfür kann entweder der eingebaute TPM-Chip oder ein separater Hardware-Schlüssel verwenet werden.