Was ist FIDO2?

FIDO2 ist ein offener Authentifizierungsstandard, der von der FIDO Alliance entwickelt wurde und eine sichere und benutzerfreundliche Alternative zur traditionellen passwortbasierten Authentifizierung bietet. FIDO2 baut auf den früheren U2F- und CTAP-Standards auf und umfasst zwei Hauptkomponenten: die WebAuthn-API und das CTAP2-Protokoll.

Die WebAuthn-API ist eine browserbasierte API, die Websites und Anwendungen ermöglicht, mit FIDO2-fähigen Authenticators für passwortlose Authentifizierung zu interagieren. Die API bietet eine standardisierte Möglichkeit für die Website oder Anwendung, mit dem Authenticator zu kommunizieren, einschließlich der Registrierung neuer Anmeldeinformationen, der Authentifizierung vorhandener Anmeldeinformationen und dem Abrufen von Metadaten über den Authenticator.

Das CTAP2-Protokoll ist ein Kommunikationsprotokoll zwischen der Client-Software (wie einem Webbrowser oder einer mobilen App) und dem Authenticator (wie dem Authenton#1-Hardware-Sicherheitsschlüssel) für passwortlose Authentifizierung.

CTAP2 enthält mehrere Verbesserungen gegenüber dem früheren CTAP-Standard, wie die Unterstützung für mehrere Anmeldeinformationen, verbesserte Attestationsformate und Unterstützung für PIN-Authentifizierung.

FIDO2 basiert auf Public-Key-Kryptografie, wobei der Authenticator ein öffentliches-privates Schlüsselpaar generiert und es zur Signierung und Verifikation kryptografischer Operationen verwendet. Die Client-Software generiert eine Herausforderung, die der Authenticator mit seinem privaten Schlüssel signieren muss, um seine Echtheit zu beweisen. Die signierte Antwort wird dann zur Verifikation an die Client-Software zurückgesendet, um sicherzustellen, dass der Benutzer im Besitz des Authenticators ist, und eine starke Form der Zwei-Faktor-Authentifizierung zu bieten.

FIDO2 bietet mehrere Vorteile gegenüber der traditionellen passwortbasierten Authentifizierung. Es ist resistent gegen Phishing-Angriffe, da der Benutzer physisch mit dem Authenticator interagieren muss, um den Authentifizierungsprozess abzuschließen.

Es ist auch resistent gegen Man-in-the-Middle-Angriffe, da die signierte Antwort nur von der vertrauenden Partei verifiziert werden kann, die die ursprüngliche Herausforderung generiert hat.

Darüber hinaus bietet FIDO2 eine konsistente Benutzererfahrung auf verschiedenen Websites und Anwendungen, die den Standard unterstützen, was es einfach zu verwenden und zu übernehmen macht.

FIDO2 wurde von mehreren großen Online-Diensten wie Apple, Google, Microsoft, AWS und Dropbox übernommen und wird von beliebten Webbrowsern wie Safari, Chrome, Firefox und Edge unterstützt. Die FIDO Alliance setzt sich weiterhin für die Entwicklung und Förderung des FIDO2-Standards sowie anderer passwortloser Authentifizierungsstandards ein, um die Online-Sicherheit und die Benutzererfahrung zu verbessern.