Fido2 So funktioniert der Passwort-Nachfolger

Das neue Log-in-Verfahren Fido2 hat das Zeug, das Passwort abzulösen. Die Experten von der "c't" erklären, was man über die neue Technik wissen muss.

Viel sicherer als Passwörter: Fido-Sicherheitsschlüssel gibt es in vielen Formen und Farben
c't

Viel sicherer als Passwörter: Fido-Sicherheitsschlüssel gibt es in vielen Formen und Farben

Von den "c't"-Autoren Ronald Eikenberg und Jürgen Schmidt


Was ist Fido2 eigentlich?

Fido2 ist ein neues Verfahren, mit dem Sie sich bei Webdiensten registrieren und einloggen können. Es kann entweder anstelle eines Passworts zum Einsatz kommen oder zusätzlich, als zweiter Faktor.

Sie benötigen dafür einen sogenannten Authenticator: Die gibt es zum Beispiel in Form eines USB-Sticks, den Sie am Schlüsselbund befestigen können. Beim Login stecken Sie den Stick einfach in den Rechner und drücken die Taste auf dem Stick, um sich gegenüber dem Dienst zu authentifizieren.

Unter Windows, Android und eingeschränkt auch unter macOS klappt es sogar ohne Zusatzhardware, da die Betriebssysteme selbst als virtuelle Authenticatoren arbeiten.

Je nachdem, wie ein Dienst Fido2 implementiert hat, genügt der Stick zum Einloggen (Ein-Faktor-Authentifizierung) oder Sie müssen zusätzlich noch einen PIN-Code oder ein Passwort eingeben (zwei Faktoren). Beide Varianten sind erheblich sicherer, als sich allein auf das Passwort zu verlassen.

Was bedeuten Begriffe wie Authenticator, Token und Sicherheitsschlüssel?

Der Fido2-Stick hat viele Namen. Wenn man vom Authenticator, Token oder Sicherheitsschlüssel spricht, ist das Gerät gemeint, mit dem Sie sich gegenüber den Diensten authentifizieren. Es kann sich dabei um ein externes Gerät handeln, das Sie per USB, NFC, Bluetooth oder Lightning mit Ihrem PC oder Smartphone verbinden. Diese Geräte haben meist den Formfaktor eines USB-Sticks oder Schlüsselanhängers. Der Fido2-Stick arbeitet als externer Authenticator.

Darüber hinaus gibt es interne Authenticatoren. Damit ist eine Software gemeint, die den Krypto-Chip Ihres PC, Smartphones oder Tablets für Fido2 nutzt. Den Kauf eines Fido2-Sticks können Sie sich damit sparen. Als interner Authenticator können Windows 10 und Android ab Version 7 arbeiten, unter macOS klappt es in Kombination mit Googles Chrome-Browser.

Der geheime Krypto-Schlüssel ist das Geheimnis, das in Ihrem Token gespeichert ist. Sie können es sich wie eine zufällige Zeichenfolge vorstellen, die nur Ihr Token kennt. Dieses Geheimnis lässt sich nicht auslesen oder kopieren.

Wo kann ich Fido2 jetzt schon nutzen?

Das Einloggen ohne Passwort funktioniert bereits bei Microsoft.com und den daran angeschlossenen Diensten wie Outlook.com, Office 365 und OneDrive, sofern Sie den Browser Edge nutzen. Bei vielen weiteren Diensten können Sie Fido2 als zweiten Faktor einrichten. Dann profitieren Sie von dem Schutz gegen Phishing-Angriffe und ähnliches, müssen aber weiterhin Ihr Passwort eingeben. Das klappt etwa bei Google, GitHub, Dropbox, Twitter und BoxCryptor. Ausprobieren können Sie das zum Beispiel auf der Demo-Seite WebAuthn.io.

Kann ich bei einem Dienst mehrere Sicherheitsschlüssel registrieren?

Ja, das ist möglich und sogar sehr empfehlenswert. Denn falls Sie einen davon verlieren, haben Sie immer noch einen zweiten, mit dem Sie sich anmelden und den verlorenen Sicherheitsschlüssel sperren können.

Kann man mir so einen USB-Sicherheitsschlüssel nicht einfach klauen?

Ja, das ist prinzipiell möglich. Genauso wie jemand Ihren Auto- oder Wohnungsschlüssel klauen könnte. Dann gilt es, möglichst schnell den Zugang zu den damit verwendeten Accounts zu sperren.

Ein entscheidender Vorteil gegenüber Passwörtern ist, dass ein Diebstahl nicht mehr virtuell möglich ist. Es reicht nicht mehr, wenn die Cybermafia mit einem Trojaner oder durch Einbruch auf einem Server Millionen von Passwörtern ergattert. Es muss jemand direkt vor Ort einen Sicherheitsschlüssel klauen und dann auch missbrauchen. Letztlich ist das für Cybercrime unattraktiv.

Kann ich mich vor dem Diebstahl meines Sicherheitsschlüssels schützen?

Ja, das ist im Fido2-Standard explizit vorgesehen. So sind die eingebauten virtuellen Schlüssel in Windows und Android immer durch einen zweiten Faktor, also etwa einen Fingerabdruck oder einen PIN geschützt, die eine Nutzung durch Fremde verhindern.

Es gibt auch USB-Token, die einen solchen zweiten Faktor erfordern. So kann man die Yubikeys von Yubico mit einem zusätzlichen PIN sperren, den man eingeben muss, um den Sicherheitsschlüssel zu verwenden. Von Feitian gibt es USB-Token mit eingebautem Fingerabdruck-Scanner.

Wie komme ich an meine Konten, wenn ich meinen Stick verliere oder er geklaut wurde?

Das ist ein Schwachpunkt des aktuellen Konzepts. In diesem Bereich sind noch viele Fragen offen. Insbesondere hängt viel davon ab, wie die Dienste das konkret umsetzen. Es kristallisieren sich zwei Varianten heraus.

  • Accounts mit hohen Sicherheitsanforderungen (Payment, E-Mail usw.): Hier müssen Sie sich beim Verlust des Sticks anderweitig sicher ausweisen. Also entweder mit einem zweiten Schlüssel, den Sie vorsorglich registriert haben, mit einem Backup-Code, über einen Code an die hinterlegte Handynummer eventuell in Kombination mit einer E-Mail-Autorisierung oder ähnlichem.
  • Accounts mit nicht so hohen Ansprüchen (Foren, Shops und ähnliches): Da wird dann wohl ein einfacher Reset über eine hinterlegte E-Mail-Adresse oder Handynummer möglich sein. Das ist auch vernünftig, denn man muss nicht jeden Foren-Account wie Fort Knox absichern. Da steht eher der Komfort und der niedrige Wartungsaufwand des Betreibers im Vordergrund.

Wie robust sind USB-Token?

Die Token sind für das Tragen am Schlüsselbund ausgelegt. Wir haben etwa mit den Yubikeys diesbezüglich bereits sehr gute Erfahrungen gemacht. Sie überleben auch mehrere Jahre rauen Einsatz am Schlüsselbund und zeigen danach zwar deutliche Abnutzungsspuren, funktionieren aber immer noch problemlos.

Kann ich ein Backup meines Tokens erstellen?

Nein, das ist explizit nicht möglich - und das ist auch gut so. Die Fido2-Token sind nicht kopierbar und der darauf gespeicherte geheime Krypto-Schlüssel lässt sich auch nicht auslesen. Ein Fido2-Sicherheitsschlüssel ist immer ein Unikat. Das ist auch der Grundgedanke hinter Fido2. Dadurch sind die Token viel sicherer als Passwörter: Ein Trojaner kann zwar Ihr Passwort abgreifen, jedoch nicht den geheimen Krypto-Schlüssel Ihres Fido2-Token. Damit Sie im Fall eines Verlusts oder Hardware-Defekts weiter auf Ihre Accounts zugreifen können, müssen Sie eine zweite Authentifizierungsmöglichkeit einstellen, zum Beispiel, indem Sie ein zweites Token anlernen oder Backup-Codes ausdrucken.

Wie kann ich Fido2 auf meinem Android-Smartphone nutzen?

Sie benötigen Android 7 oder höher. Zudem müssen die Google-Play-Dienste auf dem aktuellen Stand sein, da Google die Funktion über ein Update der Dienste auf die Geräte verteilt. Damit Sie das Update erhalten und die Dienste ordnungsgemäß arbeiten, müssen Sie einen Google-Account eingerichtet haben. Falls es dennoch nicht klappt, fehlt Ihrem Android-Gerät womöglich ein "Secure Element", das den für Fido2 genutzten Krypto-Schlüssel verwalten würde.

Kann ich mein Smartphone als Sicherheitsschlüssel für den PC nutzen?

Theoretisch ja, praktisch derzeit nein. Aus technischer Sicht können nahezu beliebige Geräte über Bluetooth, NFC oder USB als Fido2-Token fungieren, solange sie sich um die sichere Aufbewahrung des geheimen Schlüssels kümmern. Ein Smartphone wäre dafür ideal, da es meist nicht nur mit Bluetooth, sondern auch mit einem Secure Element für die Krypto-Operationen ausgestattet ist. Auch Smartwatches wären gut geeignet. Bislang mangelt es jedoch an der passenden Software.

Google experimentiert bereits mit dieser Idee. Wenn man den Google-Account entsprechend konfiguriert, verbindet sich die auf dem PC geöffnete Google-Site beim Login über Bluetooth mit dem Smartphone. Die Krypto-Operationen finden anschließend auf dem Smartphone statt. Langfristig ist es denkbar, dass Google diese Funktion in Android einbaut und das Smartphone auch für andere Dienste als externer Authenticator nutzbar wird.

Kann ich Fido2 auch mit macOS und iPhone nutzen?

Als Nutzer von macOS können Sie Fido2-Sticks mit Chrome und Firefox problemlos einsetzen. Safari unterstützt den Standard nur mit rudimentärer Funktionalität. Die Sticks funktionieren damit zwar, es fehlen in der Bedienoberfläche jedoch noch die dazugehörigen Dialoge. Googles Chrome ist da unter macOS schon weiter: Wer ein MacBook mit Fingerabdrucksensor (Touch ID) hat, kann darüber sogar den Rechner als Sicherheitsschlüssel einsetzen.

Unter iOS gibt es bisher nur den Umweg über den Fido2-Stick YubiKey 5 Ci von Yubico. Er hat einen USB-C- und einen Lightning-Anschluss. Die Auswahl der Browser ist aber extrem eingeschränkt: Aktuell kann nur der Browser "Brave" (Open-Source-Software) den Stick nutzen. Lesen Sie hier den c't-Test des YubiKey 5 Ci.

Wie sieht es mit Linux aus?

Unter Linux können Sie Ihren Fido2-Stick genauso wie unter allen anderen Betriebssystemen verwenden. Entscheidend ist, dass der Browser das Webauthn-API unterstützt. Die meisten aktuellen Browser wie Firefox und Google Chrome sind bereits Fido2-tauglich.

Falls es nicht klappt, sollten Sie überprüfen, ob Sie die aktuelle Browserversion installiert haben. Es gibt bereits erste Versuche, auch unter Linux das TPM-Modul des Rechners als internen Authenticator nutzbar zu machen. Damit könnten Sie dann auf den Einsatz eines externen Fido2-Tokens verzichten. Derzeit gibt es allerdings noch keine stabile Implementierung.

Kann man mich nicht im Netz verfolgen, wenn ich überall den gleichen Sicherheitsschlüssel verwende?

Bei der Entwicklung des Fido2-Standards wurde darauf geachtet, dass genau das nicht möglich ist. Der Sicherheitsschlüssel generiert für jeden Dienst ein eigenes Schlüsselpaar, basierend auf der Domain des Gegenübers. Somit können etwa Ebay und Google nicht feststellen, welche ihrer Nutzer den gleichen Sicherheitsschlüssel einsetzen.

Es gibt zwar einen optionalen Mechanismus zum Wiedererkennen, bei dem der Server den Schlüssel bittet, zusätzlich seine Seriennummer zu übermitteln. Der Nutzer muss dieser Bitte aber in einem separaten Dialog zustimmen. Heimliches Tracking ist damit also nicht möglich. Die Funktion ist etwa fürs Unternehmensumfeld gedacht, wenn zum Beispiel nur Sicherheitsschlüssel eines bestimmten Herstellers eingesetzt werden sollen.

Wird mein Fingerabdruck an Google & Co. übertragen, wenn ich mich damit identifiziere?

Nein, das passiert nicht. Weder der PIN, noch der Fingerabdruck oder Gesichts-Scan werden für die eigentliche Anmeldung bei einem Dienst benutzt. Diese Daten bleiben strikt lokal auf dem Sicherheitsschlüssel. Man beweist damit lediglich dem Sicherheitsschlüssel gegenüber, dass man tatsächlich der richtige Anwender ist.

Wie kann ich meinen Nutzern das Einloggen auf meiner Website über Fido2 ermöglichen?

Das klappt mit überschaubarem Aufwand und ohne Investitionen. Es gibt zahlreiche Open-Source-Implementierungen von WebAuthn, die Sie mit etwas Geschick in Ihren Webdienst einbauen können. Als Grundlage können Sie zum Beispiel unser in Go geschriebenes Projekt nehmen.



insgesamt 24 Beiträge
Alle Kommentare öffnen
Seite 1
marthaimschnee 20.10.2019
1. Von wegen "Passwortnachfolger"!
Der Key wird in den meisten Fällen zusätzlich zum Passwort nötig sein, löst also das Passwortproblem nur auf der einen Seite, nämlich daß er die wirklich wichtigen Sachen etwas sicherer macht. Die Komfortseite, mit der man den Nutzer davon überzeugen will, guckt in den Mond. Und deswegen wird sich auch Fido2 nur durchsetzen, wenn Dienste Nutzer dazu zwingen. Von selber regiert der Nutzer mit Schulterzucken.
peho65 20.10.2019
2. Nicht auslesen?
Wenn der Schlüssel nicht ausgelesen werden kann, wie kann er dann benutzt werden? Soll heißen, natürlich muss der Schlüssel ausgelesen werden können. Und wenn das System, in das ich mich einloggen will, das kann, dann kann das niemand anderer? Soso.
Andreas-Schindler 20.10.2019
3. Was soll der Blödsinn, ich will ja grade kein Passwort mehr Eingeben
Wenn ich Trotzdem Passwörter jedesmal Eingeben muss bringt mir das zu Hause gar nichts. Das ist nur eine Zusätzliches Passwort durch eine Hardware. Dann kann ich genauso gut mein neuen Personalausweis mit Chip in ein Lesegerät am PC Schieben um mich Auszuweisen. Ein Personalausweis haben fast alle in Deutschland und Lesegeräte gibt es dafür auch für alle gängigen Betriebssysteme.
Hamberliner 20.10.2019
4. Gibt's schon lange und nennt sich Dongle.
Ein Dongle wird nicht dadurch zu etwas ganz brandneuem, dass man es auf einmal nicht mehr als Dongle, sondern als Authenticator, USB-Token oder Sicherheitsschlüssel bezeichnet. Die peinliche Neutaufe dient wohl Marketingzwecken.
Sleeper_in_Metropolis 20.10.2019
5.
Zitat von marthaimschneeDer Key wird in den meisten Fällen zusätzlich zum Passwort nötig sein, löst also das Passwortproblem nur auf der einen Seite, nämlich daß er die wirklich wichtigen Sachen etwas sicherer macht. Die Komfortseite, mit der man den Nutzer davon überzeugen will, guckt in den Mond. Und deswegen wird sich auch Fido2 nur durchsetzen, wenn Dienste Nutzer dazu zwingen. Von selber regiert der Nutzer mit Schulterzucken.
Das wird sich sowieso nicht durchsetzen, genau so wenig wie sich alle anderen Anmeldeverfahren in der Breite nicht durchgesetzt haben, bei denen man irgendwas mit sich rumschleppen muss (z.B. Karte, USB-Sticks, etc.). Der große Vorteil eines Passwortes ist ja, das man das im Kopf hat (bzw. haben sollte). Es reicht schon, das die Datenschutzparanoiker uns die Zwei-Faktor-Authentifizierung beim Onlinebanking&Co. aufgezwungen haben.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.