Die FIDO-Allianz will Passwörter überflüssig machen. Schon lange ist die Kombination FIDO2 und WebAuthn die sicherste Alternative. Sie hat es allerdings nicht geschafft, Passwörter als allgegenwärtigen Identitätsnachweis abzulösen. Die FIDO-Macher erkannten, dass dies unter anderem an Problemen lag, die den praktischen Einsatz erschwerten und reagieren mit einer Anpassung der Strategie.

Es genüge nicht, den Login-Vorgang auf einem Gerät möglichst sicher und komfortabel zu gestalten. Mehrere Geräte haben nahezu jeder potenzielle FIDO-Nutzer im Einsatz, auf denen er Zugang zu Diensten benötigt. Zudem gehen Geräte und Tokens verloren. Dennoch benötigt der Benutzer Zugang zu seinen Konten. Die FIDO-Alliance (Fast IDentity Online) schlägt zwei strategische Neuerungen vor, um das zu verbessern.

Zum einen können die Smartphones der Benutzer als "Roaming Authenticator" fungieren. Der Anwender muss dabei zum Login bei einem Dienst etwa auf seinem PC nur noch den Anmeldevorgang auf seinem Smartphone bestätigen. Gemäß FIDO2-Spezifikation wickelt dieser dann einen sicheren Anmeldevorgang ab; die Kommunikation zwischen PC und Smartphone erfolgt über Bluetooth.

Zum anderen unterstützt FIDO aktiv, dass der identitätsstiftende, geheime Schlüssel auf mehreren Geräten synchron gehalten wird. Beispielsweise Handy, PC und ein USB-Token könnten damit als wechselseitig austauschbare FIDO-Authenticator fungieren.

Das zentrales Ziel der FIDO ist, die Nachfolge des Passworts anzutreten und Anwendern eine komplett passwortlose und dennoch sichere Anmeldung zu ermöglichen. FIDO2 kann nach wie vor als zusätzlicher Faktor in einem Hochsicherheitskontext dienen, der Multifaktor-Authentifizierung erfordert.

Es wird explizit das Synchronisieren der Schlüssel über Gerätegrenzen hinweg gefördert. FIDO verlässt sich dabei auf die Sicherheitskonzepte der zugrundeliegenden Betriebssysteme etwa von Google, Apple oder Microsoft. Schon heute synchronisieren sie teilweise Passwörter über die Cloud. Ein Dienstanbieter beispielsweise kann in einem Kontext mit hohen Sicherheitsanforderungen nach wie vor die Nutzung einzigartiger, gerätespezifischer FIDO-Schlüssel erzwingen.

Allerdings macht FIDO bislang keine Vorgaben, wie die Cloud-Synchronisierung der geheimen Schlüssel zu erfolgen hat. Häufig kann und wird das dann im Stil von Microsoft oder Google passieren. Typischerweise verwahren sie solche geheimen Informationen so, dass sie selber ebenfalls Zugang dazu haben.

Derzeit sichert nur Apple mit seiner Keychain die sensiblen Daten kryptografisch in der Cloud. Passwörter werden dort Ende-zu-Ende-verschlüsselt in der iCloud abgelegt, womit Apple selbst keinen Zugang hat.

(ts, hannover)

(siehe auch: Heise-News-Ticker)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE