Datenschutz-Akademie » Datenschutz-Wiki » Passwortlose Authentifizierung

Passwortlose Authentifizierung über FIDO2, Webauthn und CTAP

Passwortlose Authentifizierung über FIDO2

Passwörter sind schwer zu merken und meistens nicht sicher. Heute gibt es Lösungen, die ohne die Kombination aus Klein-, und Großbuchstaben, Zahlen und Sonderzeichen auskommen. Insbesondere Experten aus dem Bereich Datenschutz und Informationssicherheit setzen schon lange nicht mehr auf die Verwendung von Passwörtern, um den Zugriff auf System wesentlich sicherer zu gestalten.

Die passwortlose Authentifizierung ist der aktuelle Trends in der IT-Sicherheit und ein System, das ganz ohne die Verwendung von Passwörtern auskommt.  Denn bei der passwortlose Authentifizierung wird das Passwort durch wesentlich sicherere Faktoren ersetzt. Warum auch Sie besser gestern als heute auf Passwörter verzichten sollten und welche gängigen Verfahren es gibt lesen Sie im nachfolgenden Artikel.

Wichtigste Informationen über die passwortlose Authentifizierung

  • Die Verwendung von Passwörtern birgt viele IT-Sicherheitsrisiken und wird zunehmend durch weniger anfällige Optionen ersetzt
  • Die passwortlose Authentifizierung ist eine solche Option und ist durch kryptografische Schlüsselpaarungen sehr sicher
  • FIDO2 ist ein Standard welcher passwortlose Authentifizierung anwendet um starke passwortlose Authentifizierung zu ermöglichen
  • FIDO2 ist ein gemeinsames Projekt der FIDO-Allianz und des W3C und kombiniert das Client to Authenticator Protocol (CTAP) mit der Web-Authentifizierungs-API (WebAuthn)

Warum sollte man auf Passwörter verzichten?

Für die Entscheidung gegen die Verwendung von Passwörtern gibt es gleich mehrere Gründe:

  • Mehrheitlich werden schwache Passwörter verwendet, die sich Nutzer merken können (auf den vorderen Plätzen: „Passwort“,“123456”)
  • Ein Passwort wird meist für mehrere Accounts benutzt: Haben sich Dritte über dieses Passwort Zugang zum Account verschafft, können sie sich bei weiteren Accounts einloggen
  • Passwörter verwenden unsichere Verfahren MD5 (Rainbowtable attack)
  • Auch komplexe Passwörter sind hackbar: Hacker können über verschiedene Methoden wie Keylogging oder Phishing Passwörter knacken, auch wenn Nutzer Vorschriften beachten, denn die Standard-Passwortanforderungen (z. B. 8 Zeichen, 1 Großbuchstabe, 1 Zahl) sind keine Hürde für Software und Algorithmen und innerhalb von Sekunden kombiniert
  • Passwortmanager sind anfällig da auch das initiale Passwort zum Login in den Passwortmanager hackbar ist oder durch den Benutzer zu schwach gewählt werden kann
  • Die 2-Faktor-Authentifizierung ist eine gute Option, aber nicht so sicher wie die passwortlose Authentifizierung, denn auch hier kann Phishing Dritten den unbefugten Zugang zu Ihren Anwendungen ermöglichen, das Vorgehen ist aber zumindest sicherer als die Verifizierung über ein Passwort
  • Passwortmanagement ist ein Zeit- und Kostenfaktor in IT-Abteilungen denn die Passwörter müssen sicher verwahrt werden, um das Risiko von Datenschutzpannen zu reduzieren und Anfragen von Mitarbeitern zu vergessenen Passwörtern, müssen manuell durch Zurücksetzen gelöst werden.
Info

81 % der Datenschutzverletzungen basieren auf schwachen oder kompromittierten Passwörtern

2019, Data Breach Investigations Report, Verizon

Wie funktioniert die passwortlose Authentifizierung?

Ganz einfach gesagt handelt es sich bei der passwortlosen Authentifizierung um eine Methoden, bei der die Identität des Benutzers überprüft wird, ohne dass dieser ein Passwort verwendet. Der wesentlichste Unterschied zur passwortbasierten Authentifizierung  ist also, dass für den Zugriff auf Systeme keine gespeicherten Geheimnisse verwendete werden, um die Identität des Nutzers zu verifizieren.

Bei der passwortlosen Authentifizierung wird ein Schlüsselpaar (ein sogenanntes „Credential“) generiert. Dieses Schlüsselpaar besteht immer aus einem privaten und einem öffentlichen Schlüssel. Dabei funktioniert der öffentliche Schlüssel allerdings eher als (öffentliches) Schloss, welches nur mit dem privaten Schlüssel geöffnet werden kann. Die Kombination aus Schlüssel und Schoss ist einmalig pro Anwendung und eben dass erhöht die Datensicherheit enorm.

Benutzer die sich über die passwortlose Authentifizierung  anmelden wollen, benötigen dazu entweder einen „externer Authentifikator“ (bspw. einen Hardware-Token) oder einen „internen Authentifikator“ (bspw. einen Fingerabdruck) um das Schlüsselpaar aus privatem Schlüssel und öffentlichem Schloss zu generieren. Meldet sich der Benutzer bei einem System an behält dieser den privaten Schlüssel und der öffentliche Schlüssel (bzw. das öffentlich Schloss) wird an das System gesendet. Das System bei dem sich der Benutzer anmelden möchte nutzt den öffentlichen Schlüssel, um den privaten zu entschlüsseln. Sollte die Sequenz aus Verschlüsselung und Entschlüsselungssequenz funktioniert –  als der private Schlüssel in das öffentlich Schloss passen – ist verifiziert, dass der Benutzer auch der Besitzer des privaten Schlüssels ist. Der Login ist erfolgreich.

Die Vorteile der passwortlosen Authentifizierung

Die Passwortlose Authentifizierung ist zeitgemäßer, optimiert für mobile Endgeräte, komfortabler und spart außerdem noch Kosten im Vergleich zur Verwendung von Passwörtern.

Erhöhte Sicherheit durch den Verzicht auf Passwörter

Trotz der Hinweise des BSI zur Verwendung von Passwörtern, bedeuten benutzergesteuerte Passwörter immer eine Risiko und sind anfällig für Angriffe. Denn die Anforderungen an Passwörter muss nicht nur dem Benutzer bekannt sein, sondern auch durch diesen selbst und ständig eingehalten werden. Fällt das Passwort aus dem Anmeldeprozess heraus, reduziert sich das Risiko bzw. die Schwachstelle für Phishing-Angriffe, Passwortverlust oder Passwortwiederverwendung, die IT-Sicherheit wird erhöht.

Komfortable Authentifizierung über alle Kanäle

Die Verwendung von traditionellen Passwörtern impliziert einen administrativen Aufwand bei Benutzern, ist veraltet und nicht für den Gebrauch auf mobilen Endgeräten optimiert (z. B. Anmeldung im Apple-Store über den Fingerabdruck). Die passwortlose Authentifizierung ist die weitaus effizientere Optionen und ermöglicht Benutzern die schnelle Anmeldung bei Anwendungen oder Geräten.

Schlanke Registrierungsprozesse verbessern Nutzererfahrung

Eine Registrierung oder Anmeldung über ein Passwort bedeutet immer eine gewisse Hürde auf Anwenderseite. Durch die Verwendung von Verfahren passwortloser Authentifizierung fällt diese Hürde weg und Nutzer können ohne Passwort bspw. auf geschäftliche E-Mails oder sonstige Anwendung zugreifen.

Kostenersparnis durch Wegfall von Passwörtern

Die Administration von Passwörtern sowie die das Ändern von Passwörtern, um deren Sicherheit fortlaufend zu generieren kostet Zeit und wird oftmals durch IT-Teams verwaltet. Genauso wie der Passwortvergessen-Prozess, sollten Benutzer ihr Passwort trotz sorgfältiger Verwahrung doch vergessen. Durch die Verwendung der passwortlosen Authentifizierung fallen diese Kosten weg.

Welche Verfahren der passwortlosen Authentifizierung gibt es?

Mittlerweile gibt es zahlreiche passwortlosen Authentifizierungsverfahren, am wohl bekanntesten sind TouchID, Gesichtserkennung und Mustererkennung. Diese Verfahren werden schon jahrelang als Standard auf mobilen Endgeräten verwendet.

Fingerabdruck

Gesichtserkennung

Mustererkennung

Stimmenerkennung

SMS

E-Mail

Social Login

WebAuthn

Was ist FIDO2?

Das Kürzel FIDO2 steht für Fast IDentity Online und vereint die gemeinsame Arbeit an einem Passwort-Nachfolger von Google, Microsoft, Amazon, Paypal, Facebook, Visa und Mastercard. Bereits seit März 2019 wird gemeinsam mit dem World Wide Web Consortium (W3C) an einem „WebStandard für sichere, passwortlose Logins“ gearbeitet. Dieser noch recht junge Webstandard ist FIDO2 und wird schon heute von Browsern (Edge, Chrome, Firefox, Safari), Betriebssystemen (Android, Windows, iOS) und Webdienste (Office 365) angewendet.

Info

Die FIDO-Allianz ist ein nicht kommerzieller Zusammenschluss aus vielen Unternehmen (PayPal, Google uvm.) und entwickelt offene und lizenzfreie Standards für die sichere, weltweite Authentifizierung im Internet, wie den FIDO2 Standard.

Wie funktioniert FIDO2?

Der FIDO2-Standard ein Authentifizierungsprotokoll und Verfahren zur passwortlosen Anmeldung, welches das Ziel verfolgt, die Anmeldung über passwortlose Authentifizierung sicherer und einfacher zu gestalten. Dazu verwendet FIDO2 eine Kombination aus dem Client to Authenticator Protocol (CTAP) entwickelt von der FIDO-Allianz und der WebAuthn-API entwickelt von W3C.

Das FIDO2 Verfahren ist ein Challenge-Response-Verfahren, das kryptografische Schlüsselpaarungen sogenannt „Credential“ und Faktoren wie biometrische Merkmale oder Hardware-Token nutzt. Ein privater Schlüssel wird lokal auf dem Gerät des Benutzers gespeichert und mit einen Authentifizierungsfaktor wie bspw. den Fingerabdruck verknüpft. Ein öffentlicher Schlüssel wird zu der Anwendung gesendet, auf die der Benutzer zugreifen möchte. Passen diese beiden Schlüssel zueinander, ist die Anmeldung erfolgreich.

Passwortlose Authentifizierung über FIDO2, Webauthn und CTAP

Was sind die Voraussetzungen für die Verwendung der FIDO2-Authentifizierung?

Die FIDO2-Spezifikation braucht im wesentlichen die folgenden Komponenten:

Die wichtigsten Merkmale von FIDO2

  • Die Verwendung von Passwörtern zur Anmeldung ist nicht notwendig
  • Benutzer melden Sich über biometrische Merkmale, den FIDO-Security-Token oder Mobilgeräten an
  • Der private Schlüssel verlässt niemals das Gerät des Benutzer
  • Es wird nur der öffentliche Schlüssel zur Anmeldung an Anwendungen gesendet
  • Die Verschlüsselungs-/Endschlüsselungssequenz erfolgt über die WebAuthn-API

Die Vorteile von FIDO2 gegenüber der Passwort-Authentifizierung?

  • Ermöglicht Authentisierung ohne Passwort und kann nicht korrumpiert werden
  • Schützt den privaten Schlüssel vor Zugriffen
  • Ist eine Hardware
    • Kann nicht gehackt werden
    • Kann personalisiert werden
    • Kann mit einem Key für beliebig viele Anwendungen verwendet werden
    • Funktioniert vollständig ohne Login-Merkmale
    • Ist kostengünstig (z.B. im Gegensatz zum Smartphone)

Produkte zur Verwendung des FIDO 2 Standards

Was ist WebAuthn?

Die WebAuthn ist die Kurzform der Web-Authentifizierungs-API, die vom W3C und FIDO unter Beteiligung von Google, Mozilla, Microsoft, Yubico und anderen geschrieben wurde. Diese API ermöglicht Servern die Registrierung und Authentifizierung von Benutzern mit Public-Key-Kryptografie anstelle eines Passworts.

WebAuthn ermöglicht Servern die Integration von starken Authentifikatoren, die jetzt schon Standard insbesondere bei mobilen Endgeräte sind und auch künftig immer präsenter werden. Das wohl bekannste Beispiel ist die Apples Touch ID zum Entsperren des IPhones. Anstelle eines Passworts wird ein privat-öffentliches Schlüsselpaar („Credential“) für eine Anwendung erstellt. Der private Schlüssel wird sicher auf dem Gerät des Benutzers gespeichert; ein öffentlicher Schlüssel und eine zufällig generierte Credential-ID werden zur Speicherung an den Server gesendet. Der Server kann dann diesen öffentlichen Schlüssel verwenden, um die Identität des Benutzers zu beweisen.

Der öffentliche Schlüssel ist nicht geheim, da er ohne den zugehörigen privaten Schlüssel praktisch nutzlos ist. Die Tatsache, dass der Server kein Geheimnis erhält, hat weitreichende Auswirkungen auf die Sicherheit von Benutzern und Organisationen. Datenbanken sind für Hacker nicht mehr so attraktiv, da die öffentlichen Schlüssel für sie nicht nutzbar sind.

Funktionsweise von WebAuthn

Grundsätzlich ist das WebAuthn-Protokoll für die Kommunikation zwischen Server und System des Benutzers verantwortlich. Der Benutzer registriert sich einmalig mit seiner Identität über die Authentifizierungsmethode WebAuthn, an einem lokalen Gerät oder der Anwendung. Durch diesen einmaligen Prozess ist die Identität des Benutzer mit Gerät oder der Anwendung verknüpft. Folglich ist keine Verifizierung über ein Passwort mehr notwendig. Verwenden Benutzer einen externen Authentifikator, wie beispielsweise einen Hardware-Token, genügt es mit dem Rechner über USB zu verbinden. Analog funktioniert dies mit internen Authentifikatoren, indem Benutzer bspw. den Fingerabdruck am Endgerät scannen lassen. Jedes Gerät und jede Anwendung, bei dem sich der Benutzer ab diesen Zeitpunkt anmeldet, verwendet individuelle Schlüsselpaare.

Was ist CTAP?

Innerhalb des FIDO 2 Standards können auch externe Authentifikatoren zur Identifizierung genutzt werden, dazu werden in der Regel Hardware-Token (über USB) oder Smartphones (über NFC / Bluetooth) mit dem Endgerät des Benutzers verbunden.

Das Client to Authenticator Protocol (CTAP) ist für die Kommunikation zwischen dem Hardware-Token und dem System des Benutzer verantwortlich. Speziell für die Kommunikation mit WebAuth verwendet man das Protokoll CTAP2.

Das Benutzer zu Authentifikator Protokoll stellt sicher, dass es zu einer erfolgreichen Authentifizierung zwischen dem Authentifikator (bspw. dem Hardware-Token) und dem Engerät des Benutzers bzw. der Anwendung, bei der sich der Benutzer anmelden möchte.

Weitere Informationen zu CTAP finden Sie über den Webauftritt der Fido Alliance.

Info

CTAP ist auch als Universal 2nd Factor (U2F) bekannt und bezieht sich auf die Zwei-Faktor-Authentisierung

Info

CTAP2 sorgt in Kombination mit WebAuthn dafür, dass FIDO 2 funktioniert

Umsetzung der passwortlosen Authentifizierung in der Robin Data Software

Robin Data hat die FIDO2-Technologie in die Robin Data Software implementiert, da wir sie als sicher, die Privatsphäre schützend, für jedermann einfach zu bedienen, kostengünstig und zukunftsweisend halten. Hierdurch wird es möglich, sich ohne die Verwendung des unsichereren Passwortes und mithilfe eines Security-Key an der Robin Data App anzumelden.

Wie dies genau funktioniert zeigen wir im Hilfe-Center und in folgendem Video:

Fazit: Passwortlose Authentifizierung ist eine sichere Alternative und FIDO2 der neue Standard für den sicheren Web-Log-in

Eine Datenpanne ist ein enormer Vertrauensverlust für jedes Unternehmen. Wenn Kunden das Gefühl haben, dass ihren personenbezogenen Daten nicht nicht sicher verarbeitet werden, kann das schlimmsten Fall zum Kundenverlust kommen. Von allen Cyberangriffen sind 81 Prozent auf korrumpierte Passwörter zurückzuführen. Dieser Risikofaktor ist allerdings vollkommen unnötig und kann einfach eliminiert werden. Es ist an der Zeit, die passwortbasierte Authentifizierung abzuschaffen. Das passwortlose Authentifizierung über FIDO2 ist schon heute ein etablierter Standard bei Firmengrößen wie Google, Microsoft oder Apple. Es handelt sich dabei um eine der aktuell am sichersten Authentifizierungsverfahren, der kostengünstig eingesetzt werden kann.

Caroline Schwabe
Neueste Anzeigen von Caroline Schwabe (Alle anzeigen)

Das könnte Sie auch interessieren:

Datenschutzpannen
Angreifer nutzen verschiedene Sicherheitslücken und attackieren Microsoft Exchange Server. Lesen Sie was Unternehmen jetzt tun müssen!
Datenschutz Datensicherheit Homeoffice
Was müssen Arbeitgeber und Arbeitnehmer beachten? Konkrete Tipps zum Datenschutz und Hinweise zur Datensicherheit.
Datenschutz Microsoft Windows 7
Ab dem 14.01.2020 gibt es keine Sicherheitsupdates mehr. Erfahren Sie warum dies ein hohes Risiko für Datenschutz und IT-Sicherheit bedeutet.