Der Zugang nur per Passwort ist schon länger nicht mehr zeitgemäß, aber auch einige MFA-Methoden sind in der letzten Zeit in die Kritik geraten. Abhilfe soll der Authentifizierungsstandard FIDO2 schaffen, der mit dem TOTP-Verfahren konkurriert.
Ist die Multi-Faktor-Authentifizierung (MFA) gar nicht so sicher wie vermutet? Mehrere Blog-Beiträge beschäftigten sich bereits mit dieser Frage. So haben wir gezeigt, welche Angriffe auf die MFA Sie kennen sollten und wie Sie sich vor ihnen schützen können. In diesem Beitrag geht es um den FIDO2-Standard. Er gilt als sicherer als die meisten anderen MFA-Methoden. Aber stimmt das wirklich?
Welche Sicherheitsrisiken Passwörter bergen, hat sich mittlerweile herumgesprochen. So sind sie entweder unsicher und leicht zu merken – oder sicher und kaum zu merken. Außerdem lassen sie sich verhältnismäßig leicht stehlen und wiederverwenden. Die MFA beziehungsweise 2FA (Zwei-Faktor-Authentifizierung) behebt diese Risiken, indem sie zusätzlich noch einen weiteren Faktor einführt, über den ein Cyberangreifer nicht verfügt.
Nicht alle MFA-Verfahren bieten jedoch ein zufriedenstellend hohes Schutzniveau. So sollten SMS oder proprietäre Authenticator-Apps, die auf nicht öffentlichen Standards beruhen, nur bei fehlenden Alternativen zum Einsatz kommen. Deutlich besser sieht es beim bewährten TOTP-Verfahren aus.
Mit FIDO2 steht aber noch eine weitere Methode in den Startlöchern, die ebenfalls Sicherheit verspricht. FIDO2 ist ein Standard der FIDO Alliance (Fast Identity Online), die vor etwas über zehn Jahren im Februar 2013 gegründet wurde. Ihr erklärtes Ziel besteht in der Entwicklung moderner Authentifizierungsstandards, „um die übermäßige Abhängigkeit der Welt von Passwörtern zu verringern“. Zu den ersten Unterstützern gehörten unter anderem auch der deutsche Chip-Hersteller Infineon sowie der chinesische IT-Gigant Lenovo. Später gesellten sich IT-Firmen wie Google, Microsoft und Yubico hinzu. Seit 2015 gehört auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) dazu.
Zu den ersten Standards gehörten der FIDO Universal Second Factor (FIDO U2F) sowie das FIDO Universal Authentication Framework (FIDO UAF). Auf ihrer Basis entstand FIDO2, der dritte Standard der Organisation.
FIDO2 basiert auf einer asymmetrischen Verschlüsselung mit je einem privaten und einem öffentlichen Schlüssel. Das Verfahren macht klassische Passwörter überflüssig. Bei einer Anmeldung schickt der Server eine Challenge (Herausforderung) an den Client, der sie mit seinem privaten Schlüssel signiert und als Response (Antwort) zurücksendet. Anschließend validiert der Server die Antwort mit dem öffentlichen Schlüssel. Ist sie korrekt, gibt er die Anmeldung frei.
FIDO2 kommt komplett ohne Passwörter aus, diesen Vorteil haben wir bereits erläutert. Um den privaten Schlüssel auf dem Client des Anwenders vor einem Verlust zu schützen, wird er in der Regel mit einer biometrischen Authentifizierung (zum Beispiel einem Fingerabdruck) oder einer PIN geschützt. Als weiterer Vorteil gilt, dass FIDO2 für jeden Dienst und jede Anwendung individuelle Schlüssel verwendet. Anders als Passwörter, die mehrfach genutzt werden können, ist dies bei einer Authentifizierung per FIDO2 nicht möglich. Da ein FIDO2-Schlüssel immer mit der verwendeten Domain zusammenhängt, lassen sich auch Phishing-Tricks wie sich stark ähnelnde Namen nicht mehr einsetzen, um Anwender zu betrügen.
FIDO2 besteht also aus drei Schritten:
Eine Weiterentwicklung des FIDO2-Verfahrens stellen die Passkeys dar, die unter anderem bereits von Microsoft, Apple und Google in ihre Betriebssysteme und Browser integriert wurden. Hier sind die Schlüssel nicht mehr zwingend an einen bestimmten Client gebunden. Beispielsweise synchronisiert sie Apple auch über die eigene iCloud.
Eine weitere Möglichkeit zur sicheren Authentifizierung per MFA stellt das TOTP-Verfahren (Time-based One-Time-Password) dar. Dabei generiert etwa eine Authenticator-App auf einem Smartphone ein zeitlich limitiertes Einmalkennwort, das bei der Anmeldung neben dem Benutzernamen und dem Passwort zusätzlich eingegeben werden muss. Ein Vorteil gegenüber Passwörtern ist, dass TOTP-Codes nur ein einziges Mal zum Einsatz kommen können und danach oder nach ihrem Ablauf automatisch verfallen.
TOTP-Codes haben jedoch den Nachteil, dass sie etwa auf einer Webseite eingegeben werden müssen, sodass die Gefahr von Phishing-Attacken weiter besteht. Allerdings müssen diese Angriffe aufgrund der zeitlichen Begrenzung der Codes in Echtzeit erfolgen, was eine hohe Hürde für die meisten Angreifer darstellt.
Gegenüber FIDO2 bietet das TOTP-Verfahren durchaus eine Reihe von Vorteilen. So funktioniert es unabhängig von der Hardware – eine Authenticator-App auf einem Smartphone genügt. Wenn dagegen ein FIDO2-Sicherheitsschlüssel verloren geht, gelingt ein Zugriff auf verknüpfte Konten zunächst nicht mehr. FIDO2 ist auch längst noch nicht so weitverbreitet wie das TOTP-Verfahren. Bisher verwenden nur relativ wenige Anwendungen und Dienste bereits den Standard der FIDO Alliance.
FIDO2 bietet zwar eine höhere Sicherheit als TOTP, ist aber weit weniger flexibel als die zeitlich begrenzten Einmalkennwörter. Welches Verfahren ausgewählt wird, hängt damit von den jeweiligen Anforderungen eines Unternehmens bezüglich dieser Faktoren und weiterer Aspekte wie Benutzerfreundlichkeit und Implementierung ab.
Das könnte Sie auch interessieren:
NCP-Talk mit Julia - unsere neue Kollegin im Marketing
Erzähl uns ein bisschen von Dir: In meiner beruflichen Laufbahn als Referentin und Projektleiterin konnte ich viele verschiedene Einblicke in die Kundenbetreuung, die Optimierung von Prozessabläufen und das Projektmanagement in verschiedensten Bereichen sammeln. Ich bin ...
Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
