FIDO2 ist ein Standard der FIDO-Allianz und des W3C (Fast Identity Online), der eine starke Authentifizierungslösung im Web realisiert. Dazu werden Zweitfaktoren wie biometrische Merkmale, Hardware Keys, Smart Cards oder TPM-Module (Trusted Platform Module) eingesetzt, um eine starke passwortlose Mehrfaktor-Authentifizierung zu ermöglichen.
iOS: Die Funktionsweise von FIDO2
Anders als die anderen Plattformbetreiber Google und Microsoft war Apple lange der große FIDO-Nachzügler, erst mit iOS 13 kam der Support für FIDO2-kompatible NFC-, USB- und Lightning-Sicherheitsschlüssel auf Webseiten und für App-Entwickler. Mit den neuen, im Herbst erscheinenden Betriebssystemen geht Apple nun einen Schritt weiter. So sollen Anwender in die Lage versetzt werden, sich dank FIDO2-Support bei Online-Diensten ohne die Eingabe eines Kennwortes anzumelden - Fingerabdruck (Touch ID) oder Gesichtserkennung (Face ID) reichen zum Anmelden aus. Was viele iOS Nutzer bereits in Banking-Apps gewohnt sind, hält damit Einzug im Internet. Bei dem Verfahren handelt es sich in Grunde genommen um einen Anmeldevorgang, der durch zwei Faktoren geschützt wird: das iOS-Gerät, das man besitzt und die eigene Identität, die durch biometrische Merkmale (Finger / Gesicht) validiert wird. Web- und Online-Dienste müssen hierzu die Anmeldung über WebAuthn integrieren. Dies ist die Basis für ein bequemes wie abgesichertes Anmelden des Anwenders.
Technisch gesehen handelt es sich bei FIDO2 um ein so genanntes Challenge-Response-Verfahren. Dieses kann für die Mehrfaktor-Authentifizierung (MFA), das asymmetrische Verschlüsselungsverfahren und Faktoren wie biometrische Merkmale, Hardware Token, Smart Cards, eingebettete Sicherheitselemente oder TPM-Module genutzt werden. Nutzt ein Online-Dienst dieses Verfahren, läuft die Anmeldung folgendermaßen ab:
Über das WebAuthn-Protokoll wird eine Kommunikation zwischen Server und Browser aufgebaut, das CTAP-Protokoll sorgt für die Kommunikation zwischen Browser und Authenticator.
Der Online-Dienst stellt eine so genannte Challenge an den anmeldenden Browser. Dieser leitet die Challenge an den verwendeten Authenticator weiter. Nun fragt der Authenticator nach einer "Wissens-" und einer "Besitzkomponente". Diese Komponenten ergeben sich bei iOS / iPadOS 14 aus der Biometrie (FaceID, TouchID) und der SecureEnclave (dem Gerät selbst).
Im Erfolgsfall wird eine digitale Signatur der Challenge erzeugt und zurückgeschickt.
Der Online-Dienst überprüft die Signatur und authentifiziert bei erfolgreicher Prüfung den Browser.
FIDO2 Support: Bald auch auf macOS
Seit Apple Board-Mitglied der FIDO-Alliance ist, setzt sich der Konzern noch stärker für sichere Authentifizierung ein. Davon profitieren auch die Anwender, denn wenngleich Apple nicht immer der Schnellste bei der Einführung von Technologien ist, verleiht seine Unterstützung den meisten Diensten den nötigen Schwung. Dem Ziel des Verfahrens, die Anmeldung im Vergleich zur passwortbasierten Authentifizierung sicherer und gleichzeitig einfacher zu machen, wird Apple mit der Implementierung dabei voll gerecht. Der Vollständigkeit sei erwähnt, dass auch das neue macOS dieses Feature enthalten wird und damit auch Mac-Systeme als Sicherheitsschlüssel fungieren können. (mb)