Wie funktioniert es und wer kanns?

Sowohl ein PC als auch viele Smartphones haben einen separaten Kryptochip (beispielsweise TPM) schon eingebaut. Für Konten, die man auf mehr als einem Gerät nutzt, kann man auch einen separaten Hardware-Schlüssel kaufen, zum Beispiel einen YubiKey von Yubico.

Bei der Registrierung bei einem FIDO2-fähigen Dienst mit einem FIDO2-tauglichen Schlüssel erzeugt dieser für diese Seite einen privaten sowie einen öffentlichen Schlüsselcode. Der Dienst erhält den öffentlichen Schlüssel, während der Hardware-Key den privaten Schlüssel für sich behält. Beim erneuten Login bei der betreffenden Seite muss der Benutzernamen eingegeben und der Key eingesteckt werden. Der Server schickt nun eine spezielle Anfrage (genannt Challenge) an den Key. Dieser beantwortet diese Anfrage korrekt und mit einer Signatur aufgrund des privaten Schlüssels. Der Server kann anhand der Signatur entscheiden, ob es der richtige Key ist.

Dass jeweils noch eine Taste berührt oder ein Knopf gedrückt werden muss, hat nichts mit einem Fingerabdruck oder Ähnlichem zu tun, sondern nur damit, dass der Dienst sicherstellen will, dass ein Mensch (im Idealfall der Besitzer) an diesem PC sitzt. Viele Nutzer stecken ihren Key dauerhaft ein. Das Drücken eines Knopfs oder Berühren eines Sensors stellt sicher, dass niemand aus der Ferne (etwa über einen Trojaner) den angesteckten Key nutzen kann, während der Besitzer vielleicht gerade nicht am PC sitzt.

Alle gängigen Webbrowser wie Edge, Firefox oder Chrome unterstützen FIDO2/WebAuthn. Ab Android 7.0 läuft das mit Smartphones genauso wie mit Windows 10 auf allen Geräten, die damit ausgeliefert wurden.

Sollte ein Gerät oder Betriebssystem keinen FIDO2-tauglichen Chip mitbringen, gibt es entsprechende USB- oder NFC-Sticks, mit denen das klappt, so zum Beispiel den YubiKey. Das funktioniert auch mit macOS, Linux oder ChromeOS; und mit iOS 13 und spätestens mit Safari 13 können auch iPhones und iPads FIDO2-Sticks via NFC nutzen. Yubico ist zwar nur einer von mehreren Herstellern, die FIDO2-taugliche Sticks zur Nutzung via USB, Lightning oder NFC produzieren, aber der Katalog der Onlinedienste, die damit funktionieren, ist schon recht lang: yubico.com/works-with-yubikey/catalog. Die meisten dort erwähnten Dienste funktionieren auch mit anderen FIDO2-fähigen Lösungen, nicht nur mit dem YubiKey.