Basiswissen über Identität
Authentifizierung
Identitätsorchestrierung
Identitäts-und Access-Management
Identitätsprovider und Serviceprovider
Zentrales und dezentrales Identitätsmanagement
Zero Trust-Sicherheit
Standards bei der Authentifizierung und Autorisierung
OAuth
OpenID Connect (OIDC)
SAML
Autorisierung
Autorisierungsmethoden
Nutzer- und Kontenprovisionierung
So funktioniert Single Sign-on mit einem Verzeichnis
Was ist dynamische Autorisierung?
Authentifizierungs- und Autorisierungsprotokolle
LDAP
SCIM
WebAuthn
Kerberos
Was ist WS-Trust?
Was ist B2B-Identitäts- und Zugriffsmanagement (B2B-IAM)?
Agententische KI
Wichtige IAM-Überlegungen zur Unterstützung von agentischer KI
KI-Agentenklassen und Anwendungsfälle
IAM-Best Practices für KI-Agenten
Referenzimplementierungen und Muster
Zentralisiertes Identitätsmanagement
Was ist zentralisiertes Identitätsmanagement?
Wie funktioniert das zentralisierte Identitätsmanagement?
Zentralisierte Identitätsstandards
Expand All | Collapse All

FIDO


FIDO (Fast Identity Online) ist eine Kombination von offenen, standardisierten Authentifizierungsprotokollen, die letztendlich der Abschaffung von Passwörtern dienen, die oft ineffektiv und sicherheitstechnisch überholt sind. 


Nach einer anfänglichen Registrierung und dem Auswählen der gewünschten Authentifizierungsmethode können sich Benutzer bei einem FIDO-kompatiblen Produkt oder Dienst einfach mit einem Fingerabdruck anmelden, in ein Mikrofon sprechen, in eine Kamera schauen oder eine PIN eingeben – je nachdem, welche Technologie auf ihrem Computer oder Smartphone verfügbar ist und welche Verfahrensweise das Produkt oder der Dienst akzeptiert. Ein großer Teil des Authentifizierungsprozesses läuft im Hintergrund, ohne dass der Benutzer dies bemerkt. 
 

Konzipiert für den Schutz der Privatsphäre


FIDO-Protokolle verwenden die Standardverfahren der Public-Key-Kryptographie zur sicheren Authentifizierung von Benutzern. Die gesamte Kommunikation ist verschlüsselt und die privaten Schlüssel verlassen nie die Geräte der Benutzer. Damit verringert sich die Wahrscheinlichkeit, dass sie bei der Übertragung offenbart werden. Auch bei der Authentifizierung mit biometrischen Informationen werden die Schlüssel auf den Geräten der Benutzer gespeichert, was diese Methode noch stärker und sicherer macht.

 

Was ist die FIDO Alliance?


Die 2013 gegründete FIDO Alliance ist ein offener Industrieverband, der sich auf die Schaffung von Authentifizierungsstandards konzentriert, die dazu beitragen „die übermäßige Abhängigkeit der Welt von Passwörtern zu reduzieren“.  


Der Gedanke, biometrische Daten anstelle von Passwörtern zur Authentifizierung von Benutzern zu verwenden, kam erstmals bei einem Treffen zwischen PayPal und Validity Sensors im Jahr 2009 zur Sprache. Bei dieser Gelegenheit wurde auch die Idee geboren, einen Industriestandard zu erschaffen, der mit Hilfe von Public-Key-Kryptographie und lokalen Authentifizierungsmethoden eine passwortlose Anmeldung ermöglicht.  


Heute zählt die FIDO Alliance Hunderte von Unternehmen aus einer Vielzahl von Branchen zu ihren Mitgliedern. Gemeinsam arbeiten sie an der Entwicklung technischer Spezifikationen für die Definition einer offenen Reihe von Protokollen für eine starke, passwortlose Authentifizierung. Zu diesen Unternehmen gehören unter anderem Amazon, Apple, Google, Microsoft, Visa und natürlich auch Ping.  


Die FIDO Alliance entwickelt technische Spezifikationen, die offene Standards für unterschiedliche Authentifizierungsmechanismen festlegen, die alle miteinander kompatibel sind. Sie verfügt auch über Zertifizierungsprogramme, mit denen Unternehmen die Interoperabilität zertifizierter Produkte überprüfen können – eine Voraussetzung für eine weltweite Verbreitung.


Die Tatsache, dass FIDO ein offener Standard ist, hat auch im Hinblick auf eine flächendeckende Anwendung Bedeutung, denn er ist öffentlich verfügbar und kann gratis übernommen, implementiert und aktualisiert werden. Da die offenen Standards von einer Stiftung von Interessenvertretern verwaltet werden, die auf die Qualität und Interoperabilität der Standards achten, sind sie in der Entwicklergemeinschaft weithin akzeptiert.
 

Welche Arten von Protokollen gibt es?


Die FIDO Alliance hat drei Spezifikationen veröffentlicht, die alle auf Public-Key-Kryptographie basieren:
 

  • Universal Authentication Framework (UAF)
  • Universal Second Factor (U2F)
  • FIDO2
     

Universal Authentication Framework (UAF)


Mithilfe des FIDO UAF-Protokolls können Anbieter von Webdiensten ihren Benutzern passwortlose Anmeldeerfahrungen bieten. Es sind auch Szenarien mit Multi-Faktor-Anmeldungen möglich, falls zusätzliche Sicherheit erforderlich ist. 


Um das UAF-Protokoll zu nutzen, müssen Benutzer über ein persönliches Gerät wie einen Computer oder ein Smartphone verfügen und dieses bei einem Webdienst registrieren. Im Rahmen der Registrierung werden die Benutzer zur Auswahl der Methode für ihre zukünftige Authentifizierung beim Dienst aufgefordert.


Die Dienste-Anbieter ermitteln daraufhin die geeigneten Authentifizierungs-Mechanismen und erstellen eine Liste der verfügbaren Optionen, zu denen Gesichts- oder Stimmerkennung, das Einlesen von Fingerabdrücken oder die Eingabe einer PIN gehören können. Wenn eine Multi-Faktor-Anmeldung erforderlich wird, können sich Benutzer mit einer Kombination dieser Optionen authentifizieren.


Nachdem die Benutzer sich registriert haben, geben sie bei der Anmeldung nicht mehr ihre Passwörter ein, sondern verwenden von ihnen selbst gewählte Methoden, um sich zu authentifizieren.
 

Wie genau funktioniert das?


Zunächst betrachten wir den Registrierungsprozess. Wenn ein Benutzer sich zum ersten Mal bei einem Webdienst anmelden möchte, wird er zur Registrierung aufgefordert.
 

 

  1. Im Zuge dessen wählt der Benutzer die Authentifizierungsmethode, die er für die Anmeldung verwenden möchte. Es können nur Methoden ausgewählt werden, die der Akzeptanz-Richtlinie des Dienstes entsprechen.

  2. Das Gerät des Benutzers, das heißt ein Desktop-Computer oder Mobilgerät, erstellt ein für das Gerät, den Webdienst und das Benutzerkonto spezifisches Schlüsselpaar.

  3. Das Benutzergerät behält den privaten Schlüssel und sendet den öffentlichen Schlüssel an den mit dem Benutzerkonto verknüpften Webdienst. Dadurch wird die Registrierung abgeschlossen.

Wichtig ist, zu beachten, dass die Kommunikation während dieses gesamten Ablaufs verschlüsselt bleibt. Da weder private Schlüssel noch biometrische Daten vom Benutzergerät übermittelt werden, ist die Wahrscheinlichkeit für eine Datenschutzverletzung minimal.


Nach der Registrierung erhält der Benutzer über die von ihm gewählte Authentifizierungsmethode umgehend Zugriff auf die Anwendung.
 

 

  1. Der Benutzer meldet sich beim Webdienst mit der Methode an, die er zuvor für die Verifizierung seiner Identität ausgewählt hat.

  2. Das Gerät wählt anhand der Kontokennung den passenden privaten Schlüssel aus, signiert die Challenge des Webdienstes und weist auf diese Weise den Besitz des privaten Schlüssels nach.

  3. Das Gerät sendet die signierte Challenge zurück an den Webdienst. Dort wird sie mit dem öffentlichen Schlüssel verifiziert und der Benutzer erhält Zugriff auf den Webdienst.
     

Universal Second Factor (U2F)


Das FIDO U2F-Protokoll ergänzt die herkömmliche passwortbasierte Sicherheit, anstatt sie vollständig zu ersetzen. Mit U2F müssen die Benutzer zwei Nachweise erbringen, um ihre Identitäten zu verifizieren:
 

  • Etwas, das sie kennen, wie ihren Benutzernamen und ihr Passwort

  • Etwas, das sie haben, wie einen registrierten Schlüsselanhänger (Key Fob) oder ein USB-Gerät. Diese Sicherheitsgeräte werden als U2F-Authentifizierungs-Token oder Sicherheitsschlüssel bezeichnet und können die Authentifizierung über USB, NFC (Nahfeldkommunikation) oder Bluetooth abschließen.  

Der Computerbrowser kommuniziert direkt mit dem aktivierten Sicherheitsgerät und gibt so den Zugriff auf den Online-Dienst frei.
 

Wie funktioniert das?


Wenn ein Benutzer sich zum ersten Mal bei einem Webdienst anmelden möchte, wird er zur Registrierung und zur Eingabe eines Benutzernamens und Passworts aufgefordert. 


Nachfolgend geschieht folgendes bei jedem Anmeldeversuch eines Benutzers an einem Webdienst über seinen Browser:
 

 

  1. Der Benutzer gibt seinen bei diesem Webdienst bekannten Benutzernamen und das zugehörige Passwort ein.

  2. Der Dienst sendet eine zu lösende Challenge an das registrierte Sicherheitsgerät.

  3. Das Sicherheitsgerät aktiviert sich, bestätigt den Erhalt der Aufgabe, signiert diese und beweist auf diese Weise, dass es im Besitz des privaten Schlüssels ist. Dann übermittelt es die signierte Aufgabe an den Online-Dienst.

  4. Der Benutzer erhält dann Zugriff auf den Webdienst.

 

Wie auch beim UAF-Protokoll bleibt die Kommunikation während des gesamten Prozesses verschlüsselt, und das Gerät gibt die privaten Schlüssel der Benutzer in keinem Fall weiter.

 

FIDO2


FIDO2 ist der Name der neuesten Kombination von Spezifikationen der FIDO Alliance, die in gemeinsamer Anstrengung zwischen der FIDO Alliance und dem World Wide Web Consortium (W3C) erstellt wurde. 


FIDO2 basiert auf zwei offenen Standards: dem FIDO Client To Authenticator-Protokoll (CTAP) und dem W3C-Standard WebAuthn. Die beiden greifen ineinander, um den Benutzern die passwortlose Authentifizierung beziehungsweise die Multi- Faktor-Authentifizierung (2FA und MFA) zu ermöglichen, sofern zusätzlicher Schutz erforderlich ist. Bei diesen Anmeldeerfahrungen können eingebettete Authentifikatoren (beispielsweise Biometrie, PINs) oder auch Roaming-Authentifikatoren (Key Fobs oder USB-Geräte) zum Einsatz kommen.


FIDO2 beinhaltet die folgenden Spezifikationen:
 

  • WebAuthn: Dieser Standard definiert eine Standard-Web-API, die in Plattformen und Browsern eingebaut wird, um die FIDO-Authentifizierung zu unterstützen. Er bietet eine Schnittstelle zum Erstellen und Verwalten von Public-Key-Anmeldedaten und kann sowohl mit CTAP1- als auch mit CTAP2-Authentifikatoren kommunizieren.

  • CTAP1: Die neue Bezeichnung für das FIDO U2F-Protokoll. Das Protokoll ermöglicht den Benutzern die Authentifizierung mit zwei Faktoren. Sie müssen dazu Sicherheitsgeräte an ihre Computer anschließen oder ihre Geräte in der Nähe eines NFC-Lesegeräts antippen, um Zugriff auf einen Webdienst zu erhalten.

  • CTAP2: Ermöglicht die Verwendung des Authentifikators als ersten und auch zweiten Faktor der Authentifizierung bzw. 2FA- und MFA-Erfahrungen, wenn zusätzlicher Schutz erforderlich wird.
     

Wie funktioniert das?


Wie auch bei UAF und U2F werden Benutzer bei ihrer ersten Anmeldung bei einem Webdienst dazu aufgefordert, sich zu registrieren und einen Benutzernamen und Passwort anzugeben. Bei der Registrierung wird ein neues Schlüsselpaar generiert, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der private Schlüssel ist auf dem Gerät gespeichert und mit der ID und der Domäne des Online-Dienstes verknüpft, während der öffentliche Schlüssel in der Schlüsseldatenbank des Online-Dienstes auf einem Server hinterlegt ist.


Anschließend wird der Webdienst oder die Relying Party (RP) bei jedem Versuch des Benutzers auf einen Webdienst zuzugreifen, APIs verwenden, um die Anmeldeinformationen des Benutzers mit dem Authentifikatoren zu überprüfen.
 

 

  1. Sobald der Benutzer versucht, sich bei einer Anwendung anzumelden, sendet die RP, auch als FIDO-Server bezeichnet, dem FIDO-Client über WebAuthn eine Challenge und fordert ihn auf, die Daten mit dem privaten Schlüssel zu signieren. Der FIDO-Client kann ein Browser, eine Desktop-Anwendung, eine Mobilanwendung oder eine Plattform sein.

  2. Der Benutzer bestätigt die Challenge durch Verwendung der Authentifizierungsmethode, die er während des Registrierungsprozesses ausgewählt hat. Die Domäne der Relying Partei wird mit der Domäne verglichen, die dieser RP zum Zeitpunkt der Registrierung zugeordnet war. Sollten diese beiden Domänen nicht übereinstimmen, kann die Authentifizierung nicht fortgesetzt werden, und es wird eine Fehlermeldung angezeigt. Diese Art von Zuordnung und die Laufzeitprüfung machen FIDO so resistent gegen Phishing.

  3. Der Client erhält den privaten Schlüssel vom Authentifikator. Der Authentifikator kann zum Computer oder Smartphone des Benutzers gehören oder eine externe Hardware-Komponente sein.

  4. Der Client signiert die Aufgabe und beweist auf diesem Weg, dass das Gerät im Besitz des privaten Schlüssels ist. Damit erhält der Benutzer Zugriff auf den Online-Dienst.

Wie auch bei anderen FIDO-Protokollen bleibt die Kommunikation während des gesamten Prozesses verschlüsselt und das Gerät gibt die privaten Schlüssel der Benutzer nicht heraus.

 

Ressourcen zu diesem Thema

Blog
Die (Un-)Sicherheit der passwortlosen Anmeldung: Ein Selbsthilfe Leitfaden für IT-Führungskräfte

   

Website

The FIDO Alliance

Starten Sie jetzt

Kontaktieren Sie uns

sales@pingidentity.com

Erfahren Sie, wie Ping Ihnen helfen kann, sichere Erlebnisse für Mitarbeiter, Partner und Kunden in einer sich schnell wandelnden digitalen Welt zu bieten.