Authentifizierung im Wandel – Fast Identity Online (FIDO)

Autor/Redakteur: Thamindu Dilshan Jayawickrama, Software Engineer bei WSO2/gg

FIDO ist ein Begriff, von dem man häufig im Bereich der passwortlosen Authentifizierung hört. Authentifizierung ist der Prozess, bei dem festgestellt wird, ob jemand derjenige ist, der er vorgibt zu sein. Man greift auf eine Softwareanwendung oder ein Cloud-System zu, gibt seine Benutzernamen und Kennwort ein oder verwendet eine Social Login. Das System authentifiziert dann die Angaben und führt die Anmeldung durch.

Bild: WSO2

Die Entwicklung hin zu FIDO

Passwörter wurden erstmals 1961 eingeführt, um den Zugriff auf Dateien, die auf einem Computersystem gespeichert sind, durch andere Personen als die Person, die das System besitzt, zu verhindern. Damals wurden Passwörter in einer Klartextdatei gespeichert, auf die leicht zugegriffen werden konnte. Als Lösung für dieses Problem wurden Verschlüsselungs- und Kryptografie-Techniken etabliert, um die Speicherung von Kennwörtern im Klartext zu verhindern. Im Laufe der Zeit wurden die Passwörter mit sichereren Verschlüsselungsmethoden und strengeren Richtlinien versehen. Bis vor einigen Jahren verwendeten viele Computersysteme nur die kennwortbasierte Authentifizierung, bei der die Benutzer einfache Kennwörter (zum Beispiel “123456”, “Kennwort” oder sogar ihren Namen) als Anmeldeinformationen für Systeme verwendeten.

Mit der Zunahme an Sicherheitsbedrohungen mussten strengere Passwortrichtlinien eingeführt werden, die eine Mindestanzahl von Zeichen, Ziffern, Sonderzeichen und so weiter im Passwort enthielten. Dies wurde noch notwendiger als mehr und mehr auf Cloud-basierte Systeme umgestiegen wurde. Aber auch mit strengeren Richtlinien neigten die Benutzer dazu, schwache Passwörter für ihre Konten zu wählen und dasselbe Passwort auf vielen Websites wiederzuverwenden. Dies führte zu Kontoübernahmen durch Credential-Stuffing-Angriffe. Credential Stuffing ist eine Art von Cyberangriff, bei dem Angreifer Listen mit kompromittierten Anmeldedaten verwenden, um Zugang zu einem Konto zu erhalten.

Mit der Weiterentwicklung der Technologie wurden dynamische Passwörter eingeführt, um Sicherheitsprobleme zu bekämpfen. Dynamische Passwörter sind Einmalpasswörter, die sich abhängig von Variablen wie Zeit, Standort oder physischen Veränderungen ändern. SMS-OTPs, TOTPs und E-Mail-OTPs sind die gängigsten dynamischen Passwörter, die heute verfügbar sind. Es ist nicht unüblich, dynamische Passwörter zusammen mit anderen Authentifizierungsfaktoren als eine Form der Multi-Faktor-Authentifizierung (MFA) zu verwenden. Dies hat die Sicherheit der Konten und Ressourcen erhöht und schützt die Benutzer vor den meisten Sicherheitsangriffen. Dennoch können Anwender weiterhin für Phishing-Angriffe anfällig sein. Phishing-Angriffe sind sozial motivierte Angriffe, die auf die Unachtsamkeit eines Benutzers und nicht auf die Technologie abzielen. Bei Phishing-Angriffen spielt es keine Rolle, wie sicher ein Kennwort ist oder welche Kennwortrichtlinien zum Schutz von Konten bestehen, Hacker können sich trotzdem innerhalb von Sekunden Zugang verschaffen. FIDO hilft, viele dieser Probleme zu lösen, indem es die Verwendung von Passwörtern vollständig überflüssig macht und die Kryptographie mit öffentlichen Schlüsseln verwendet.

Kryptographie mit öffentlichem Schlüssel

Die Kryptografie mit öffentlichem Schlüssel oder asymmetrische Kryptografie ist eine Verschlüsselungstechnik, bei der ein mathematisch verwandtes und nicht identisches Schlüsselpaar zum Signieren oder Verschlüsseln von Daten verwendet wird. Diese beiden Schlüssel werden als öffentlicher Schlüssel (der mit der anderen Partei geteilt wird) und privater Schlüssel (der geheim gehalten wird) bezeichnet. Der öffentliche Schlüssel wird zur Verschlüsselung von Daten verwendet und kann nur mit dem entsprechenden privaten Schlüssel entschlüsselt werden.

Grafik: WSO2

Es ist rechnerisch nicht machbar, den privaten Schlüssel mit dem entsprechenden öffentlichen Schlüssel zu berechnen. Daher kann der öffentliche Schlüssel frei weitergegeben werden, so dass die vorgesehenen Parteien nur die Daten verschlüsseln können, die die Partei mit dem privaten Schlüssel entschlüsseln kann. Beim digitalen Signieren signiert der Absender die Daten mit dem privaten Schlüssel und der Empfänger verifiziert sie mit dem öffentlichen Schlüssel. Das Signieren ist nichts Anderes als ein Hashing der Zeichenfolge oder der Nachricht mit dem privaten Schlüssel.

Grafik: WSO2

FIDO, “Fast Identity Online”, ist eine Reihe offener Standards, die entwickelt wurden, um eine schnelle, einfache und stärkere Form der Authentifizierung zu ermöglichen, indem die Verwendung von Passwörtern überflüssig gemacht wird. Diese Standards wurden von der FIDO Alliance entwickelt. FIDO besteht aus zwei Ereignissen: Registrierung und Authentifizierung.