Fido 2: Die Anmeldung soll einfach und sicher sein

Keine Login-Kopfschmerzen mehr: Mit Fido 2 sollen Passwörter überflüssig werden, und Apple, Google und Microsoft wollen vorangehen. © Uwe Umstätter/Westend61/dpa-tmn

Passwörter könnten bald Geschichte sein: Denn Apple, Google und Microsoft wollen bis 2023 passwortlose Logins etablieren. Das soll nicht nur bequem, sondern auch sicher sein. Wie ist das möglich?

Hannover – Die Liste der Regeln für gute Passwörter ist lang: Sie sollten möglichst viele Zeichen lang sein und nicht mehrfach für verschiedene Dienste verwendet werden. Das kostet offenbar viele Menschen zu viel Zeit oder überfordert sie einfach.

Auch 2021 führt die Zahlenreihe „123456“ die jährlich vom Hasso-Plattner-Institut veröffentlichte Liste der Top Ten der beliebtesten Passwörter an. Aber auch starke und einzigartige Passwörter können abgefangen oder gestohlen werden.

Und ein Zwei-Schritt-Login (Zwei-Faktor-Authentifizierung/2FA), bei dem zusätzlich zum Passwort ein zweiter Faktor verifiziert wird (zum Beispiel ein von einer 2FA-Anwendung generierter Code oder der Fingerabdruck), erhöht die Sicherheit, tut es aber nicht. Melden Sie sich nicht an. Einfacher.

Einfach gesagt, kein Passwort ist die Antwort

Es gibt eine Lösung für diese Probleme, die darin besteht, das Passwort selbst überflüssig zu machen. Die Rede ist von Fido (Fast Identity Online), was auf Deutsch so viel wie schnelle Online-Identifikation bedeutet. Fido steht für eine Reihe von Computersicherheitsstandards.

Das neueste, Fido 2, zielt darauf ab, eine sichere, passwortfreie Anmeldung bei Online-Diensten zu ermöglichen. Das Passwort könnte ausgedient haben. Aber wie funktioniert es? Wenn Sie sich mit Fido 2 anmelden möchten, müssen Sie zunächst ein Gerät bei dem entsprechenden Dienst registrieren.

Dies kann mit einem Smartphone, Tablet oder Computer erfolgen. Bei der Registrierung werden durch mathematische Verfahren zwei kryptografische Zeichenketten erzeugt, die zusammen ein Paar bilden: der öffentliche Schlüssel und der private Schlüssel. Der Dienst erhält den öffentlichen Schlüssel, der geheime Schlüssel wird auf dem Gerät gespeichert, das damit zum sogenannten Authenticator wird.

Die Signatur funktioniert wie die klassische Signatur

Wenn Sie sich jetzt anmelden möchten, erstellt das Gerät mit dem geheimen Schlüssel eine digitale Signatur. Der Dienst kann nun seine Authentizität mit dem öffentlichen Schlüssel überprüfen.

Das funktioniert im Prinzip wie die klassische Papiersignatur, erklärt Professor Markus Dürmuth vom Institut für Computersicherheit der Leibniz Universität Hannover. „Nur ich weiß, mit welchem ​​Impuls ich die Unterschrift schreibe, das kann jeder mit einem Vergleichsmuster überprüfen.“

Das Verfahren ist sicherer als das Passwort, da der private Schlüssel nur im Besitz des Benutzers ist. Passwörter hingegen sind Geheimnisse, die über Tastaturen eingegeben werden: Sie können lokal oder bei der Übertragung über das Netzwerk abgefangen werden.

Zudem werden Passwörter auch verschlüsselt beim jeweiligen Dienst gespeichert, um das vom Nutzer eingegebene Passwort abgleichen zu können, sagt Dürmuth. Im Vergleich dazu liegt das Passwort kurzzeitig im Klartext vor, was ein Sicherheitsrisiko darstellt.

Fido 2 hingegen bietet noch mehr Sicherheit: Die digitale Signatur enthält einen Zeitstempel, sagt Dürmuth. Selbst wenn es Angreifern gelänge, die Signatur abzufangen, könnten sie diese später nicht verwenden.

Der spezielle Chip speichert den Schlüssel

Zudem ist der private Schlüssel, auch Geheimnis genannt, sicher auf authentifizierenden Geräten: Der Schlüssel wird auf den Geräten in einem sogenannten Trusted Platform Module (TPM) gespeichert, erklärt Jan Mahn vom Fachmagazin „c’t“. . “Dies sind Hardware-Chips, die so konzipiert sind, dass sie keinen Ausgang für die Geheimhaltung haben.”

Der Private Key wird einmalig auf dem Gerät berechnet und dort gespeichert. Wenn Sie sich anmelden, verlässt laut Mahn nur diese Signatur das Gerät, nicht der private Schlüssel selbst. TPMs mit kryptografischen Chips sind mittlerweile in den meisten Smartphones sowie neueren PCs und Laptops zu finden. Microsoft hat sogar ein TPM zur Voraussetzung für die Installation von Windows 11 auf Maschinen gemacht.

Wenn Sie noch einen alten Computer oder ein altes Smartphone ohne TPM haben, können Sie den privaten Schlüssel auch auf USB (Computer) oder NFC (Smartphone) verbundenen Sticks speichern. Diese Sticks mit eingebetteten kryptografischen Chips werden auch Token genannt und können nicht nur das Passwort in Fido 2 ersetzen.

Stick als Passwortersatz oder zweiter Faktor

Je nach Dienst kann auch ein USB-Token als zweiter Faktor dienen. Wenn der Stick mit dem Gerät verbunden ist, müssen Sie nur noch eine PIN eingeben oder sich mit einem Fingerabdruck authentifizieren, wenn der Stick dafür einen Sensor hat. Denn 2FA ist auch Teil der Fido-Standards.

Was aber, wenn ein Nutzer das Smartphone verliert, auf dem sich der Private Key befindet? „Die offizielle Empfehlung für Fido 2 lautet, zwei Geräte anzumelden“, sagt Professor Dürmuth. Das zweite Gerät muss nicht zwangsläufig ein Smartphone oder ein Computer sein: Auch ein sicher gespeicherter USB-Token kann als Backup verwendet werden.

Jahn Mahn nennt eine weitere Möglichkeit, im Notfall einen Account zu bekommen: Viele Dienste geben bei der Anmeldung einen Sicherheitscode aus. Am besten notierst du es auf Papier und bewahrst es an einem sicheren Ort auf.

Cloud-Schlüssel?

Eine relativ neue Idee, um das Verlustproblem zu lösen und den Bedienkomfort weiter zu verbessern, besteht darin, den privaten Schlüssel auch in der Cloud, also auf Internet-Servern, zu speichern oder über das Internet auf verschiedenen Geräten zu synchronisieren. So geht beispielsweise Apple bei der Umsetzung des Fido-2-Standards vor.

Grundsätzlich geht beim Gang in die Cloud etwas Sicherheit verloren. Angesichts der besseren Bedienbarkeit von Fido 2 sei dies aber vertretbar, sagt Markus Dürmuth. Auch Cloud-Speicher sind besonders geschützt.

Hinter dem offenen, lizenzfreien Fido-Standard steht die nicht-kommerzielle Fido Alliance. Viele Unternehmen, Dienstleister und Behörden haben sich zusammengeschlossen.

Das ist das Ziel von Technologieunternehmen

Anfang Mai 2022 gaben Apple, Google und Microsoft gemeinsam bekannt, Fido 2 bis 2023 um zusätzliche Funktionen erweitern zu wollen. Nutzer sollen Zugangsdaten automatisch auf verschiedenen Geräten abrufen können, darunter auch neue , ohne sich für jedes Konto neu anmelden zu müssen. Es sollte auch möglich sein, ein mobiles Gerät als Authentifikator zu verwenden, um sich bei einer App oder Website auf einem anderen Gerät in der Nähe anzumelden, unabhängig von Betriebssystem oder Browser.

Microsoft hat bereits die passwortlose Anmeldung für die Webversion von Outlook und für sein Xbox Live-Gaming-Netzwerk eingeführt. Es kann in den erweiterten Sicherheitseinstellungen Ihres Microsoft-Kontos aktiviert werden.

Und Dropbox, Google oder Twitter unterstützen Fido 2 zumindest als zweiten Faktor per USB-Token, App oder SMS, obwohl es sich in der Regel nicht um Fido 2 handelt, sondern um einen Sicherheitsschlüssel oder Passkey.

Fido 2 ist nur so sicher wie seine Implementierung

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Mitglied der Fido Alliance. Laut einem Sprecher der Behörde steht das Amt dem Fido 2-Standard in vielerlei Hinsicht positiv gegenüber. Ein wirklicher Sicherheitsgewinn ergibt sich jedoch nur, wenn das authentifizierende Gerät entsprechend geschützt ist.

Für höhere Sicherheitsstufen muss laut BSI auch die Implementierung des Fido-2-Standards auf einer Website unabhängig geprüft und zertifiziert werden. Denn Sicherheit hängt immer davon ab, wie der jeweilige Anbieter Fido 2 für seinen Dienst implementiert.

Aktivieren Sie 2FA und Passwortersetzung, wann immer möglich

„Idealerweise sollte die IT-Sicherheit den Angreifer stören“, sagt Jahn Mahn, und die Nutzer so wenig wie möglich. “Fido 2 kommt damit klar, besonders mit den neuen Implementierungen.” Mit den meisten Android-, iOS- und MacOS-Geräten, aber auch unter Windows ist es jetzt sehr einfach, Fido 2 mit Ihrer vorhandenen Hardware zu verwenden.

Mahn rät, die Sicherheitsoptionen in den Account-Einstellungen des jeweiligen Dienstes zu prüfen und Fido 2 wann immer möglich zu nutzen: als Passwort-Ersatz oder als zweiter Faktor. dpa