Ist FIDO-Identität sicher?

2 min
 
Tags: FIDO Identität Passwörter Onlinedienste Authentifizierung Sicherheit Sicherheitskomponenten

Ist FIDO-Identität sicher?

Seit Jahren tobt die Diskussion um eine Online-Authentifizierung, die ohne Passwort auskommt. Nicht ohne Grund, denn Passwörter sind das Einfallstor für Hacker schlechthin. Abhilfe soll der lizenzfreie Industriestandard FIDO schaffen, der mit einer höheren Sicherheit dank einer Zwei- oder Multifaktor-Authentifizierung wirbt. Doch ist die FIDO-Identität damit wirklich sicher?

Passwörter: Achillesferse der Internetkommunikation

Passwörter sind die Achillesferse der Internetkommunikation. Nicht nur durch das sogenannte Pishing geraten immer wieder Passwörter in den Besitz von Hackern. Die Zahlen- und Buchstabenkombinationen können erraten, ausgelesen, abgefangen oder durch Ausprobieren entschlüsselt werden. Durch Passwort-Diebstahl entsteht den Nutzern jedes Jahr ein Schaden in Milliardenhöhe.

Der tägliche Umgang mit Passwörtern ist für die User auch eine Belastung. Da sie täglich mehrfach benötigt werden, verzichten viele Internetnutzer auf die erforderlichen Mindestanforderungen an die Sicherheit und wählen simple Zahlenkombinationen wie das eigene Geburtsdatum, den heimatlichen Strassennamen oder eine andere, leicht zu knackende Zahlen-/ Buchstabenkombinationen. Die Standards FIDO und FIDO2 sollen nun den Weg in die passwortfreie Zukunft ebnen.

FIDO: Das steckt dahinter

Hinter der Abkürzung FIDO steckt die englische Bezeichnung Fast Identity Online. Dabei handelt es sich um einen Industriestandard, der eine schnelle und sichere Authentifizierung im Internet ermöglicht. Aus FIDO ging vor kurzer Zeit der neue Standard FIDO2 hervor. Entwickelt wurde der Standard von der sogenannten FIDO-Allianz, der inzwischen hunderte Unternehmen von allen Kontinenten angehören. Darunter befinden sich auch Branchenriesen wie Google, Intel, Samsung, Microsoft und die Bank of America.

Sicherheitskomponenten des Standards

Der Hauptvorteil der FIDO-Identität ist der Wegfall der fehleranfälligen Passwörter. Darüber hinaus sind die verschlüsselten Anmeldedaten für jede Webseite einzigartig und werden nicht auf einem externen Server gespeichert. Sie verbleiben immer auf dem Gerät des Nutzers. In der Praxis sieht die Nutzung von FIDO folgendermassen aus: Benutzer registrieren sich und wählen eine Authentifizierungsmethode aus. Dies kann ein gesprochener Satz in das Mikrofon, ein Blick in die Kamera, ein Fingerabdruck oder eine PIN sein. Das hängt davon ab, welche Technologie auf dem Endgerät (Smartphone, PC, Tablet) verfügbar ist.

Wie sicher ist FIDO?

Technisch verfügt der Industriestandard FIDO über sämtliche Voraussetzungen, um eine sichere Kommunikation im Internet zu gewährleisten. Eine Gefahr für die Sicherheit bei einer Zwei- oder Multifaktor-Authentifizierung geht allerdings von den Diensten selbst aus. Wenn eine einfache Mitteilung an den Support eines Unternehmens reicht, um die Zwei-Faktor-Authentifizierung für einen Zugang zu deaktivieren, nutzen auch technisch aufwendige Verschlüsselungsverfahren und ausgeklügelte Authentifizierungsmethoden nichts.

Die FIDO-Identität eines Nutzers wird auf einem sogenannten Security-Chip gespeichert, der in den neueren Modellen von Smartphones, Laptops und Tablet-PCs bereits verbaut ist. Auf diesem Security-Chip wird der private Schlüssel gespeichert, der nicht exportiert werden kann, weil der Chip sämtliche kryptografischen Berechnungen durchführt. Dieser Chip kann Schwachstellen aufweisen, die sich Hacker zunutze machen, um das Sicherheitssystem auszuhebeln.

Nachteilig für die Anwender kann sich auch die Tatsache erweisen, dass mit der Nutzung von FIDO die oft genutzte Funktion „Passwort vergessen“ entfällt. Aus diesem Grund sollten Endanwender mehrere Zugänge anlegen, um sich nicht selbst auszusperren. Auf diese Weise haben Anwender mit einem weiteren registrierten FIDO-Chip Zugriff auf das Konto, falls der erste nicht mehr funktioniert oder verloren gegangen ist.

Fazit: Aus Sicherheitsgründen macht es Sinn, die passwortgestützte Anmeldung durch die Zwei-Faktor-Authentifizierung von FIDO zu ersetzen. Allerdings sollte man auch die Schwächen des Standards kennen.