{"id":22191,"date":"2022-11-08T11:17:00","date_gmt":"2022-11-08T10:17:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=22191"},"modified":"2022-11-02T11:33:20","modified_gmt":"2022-11-02T10:33:20","slug":"authentifizierung-im-wandel-fast-identity-online-fido","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=22191","title":{"rendered":"Authentifizierung im Wandel – Fast Identity Online (FIDO)"},"content":{"rendered":"\n

Autor\/Redakteur: Thamindu Dilshan Jayawickrama,\u00a0Software Engineer bei WSO2<\/a>\/gg<\/p>\n\n\n\n

FIDO ist ein Begriff, von dem man h\u00e4ufig im Bereich der passwortlosen Authentifizierung h\u00f6rt. Authentifizierung ist der Prozess, bei dem festgestellt wird, ob jemand derjenige ist, der er vorgibt zu sein. Man greift auf eine Softwareanwendung oder ein Cloud-System zu, gibt seine Benutzernamen und Kennwort ein oder verwendet eine Social Login. Das System authentifiziert dann die Angaben und f\u00fchrt die Anmeldung durch.<\/p>\n\n\n\n

\"\"<\/a>
Bild: WSO2<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Die Entwicklung hin zu FIDO<\/strong><\/p>\n\n\n\n

Passw\u00f6rter wurden erstmals 1961 eingef\u00fchrt, um den Zugriff auf Dateien, die auf einem Computersystem gespeichert sind, durch andere Personen als die Person, die das System besitzt, zu verhindern. Damals wurden Passw\u00f6rter in einer Klartextdatei gespeichert, auf die leicht zugegriffen werden konnte. Als L\u00f6sung f\u00fcr dieses Problem wurden Verschl\u00fcsselungs- und Kryptografie-Techniken etabliert, um die Speicherung von Kennw\u00f6rtern im Klartext zu verhindern. Im Laufe der Zeit wurden die Passw\u00f6rter mit sichereren Verschl\u00fcsselungsmethoden und strengeren Richtlinien versehen. Bis vor einigen Jahren verwendeten viele Computersysteme nur die kennwortbasierte Authentifizierung, bei der die Benutzer einfache Kennw\u00f6rter (zum Beispiel „123456“, „Kennwort“ oder sogar ihren Namen) als Anmeldeinformationen f\u00fcr Systeme verwendeten.<\/p>\n\n\n\n

Mit der Zunahme an Sicherheitsbedrohungen mussten strengere Passwortrichtlinien eingef\u00fchrt werden, die eine Mindestanzahl von Zeichen, Ziffern, Sonderzeichen und so weiter im Passwort enthielten. Dies wurde noch notwendiger als mehr und mehr auf Cloud-basierte Systeme umgestiegen wurde. Aber auch mit strengeren Richtlinien neigten die Benutzer dazu, schwache Passw\u00f6rter f\u00fcr ihre Konten zu w\u00e4hlen und dasselbe Passwort auf vielen Websites wiederzuverwenden. Dies f\u00fchrte zu Konto\u00fcbernahmen durch Credential-Stuffing-Angriffe. Credential Stuffing ist eine Art von Cyberangriff, bei dem Angreifer Listen mit kompromittierten Anmeldedaten verwenden, um Zugang zu einem Konto zu erhalten.<\/p>\n\n\n\n

Mit der Weiterentwicklung der Technologie wurden dynamische Passw\u00f6rter eingef\u00fchrt, um Sicherheitsprobleme zu bek\u00e4mpfen. Dynamische Passw\u00f6rter sind Einmalpassw\u00f6rter, die sich abh\u00e4ngig von Variablen wie Zeit, Standort oder physischen Ver\u00e4nderungen \u00e4ndern. SMS-OTPs, TOTPs und E-Mail-OTPs sind die g\u00e4ngigsten dynamischen Passw\u00f6rter, die heute verf\u00fcgbar sind. Es ist nicht un\u00fcblich, dynamische Passw\u00f6rter zusammen mit anderen Authentifizierungsfaktoren als eine Form der Multi-Faktor-Authentifizierung (MFA) zu verwenden. Dies hat die Sicherheit der Konten und Ressourcen erh\u00f6ht und sch\u00fctzt die Benutzer vor den meisten Sicherheitsangriffen. Dennoch k\u00f6nnen Anwender weiterhin f\u00fcr Phishing-Angriffe anf\u00e4llig sein. Phishing-Angriffe sind sozial motivierte Angriffe, die auf die Unachtsamkeit eines Benutzers und nicht auf die Technologie abzielen. Bei Phishing-Angriffen spielt es keine Rolle, wie sicher ein Kennwort ist oder welche Kennwortrichtlinien zum Schutz von Konten bestehen, Hacker k\u00f6nnen sich trotzdem innerhalb von Sekunden Zugang verschaffen. FIDO hilft, viele dieser Probleme zu l\u00f6sen, indem es die Verwendung von Passw\u00f6rtern vollst\u00e4ndig \u00fcberfl\u00fcssig macht und die Kryptographie mit \u00f6ffentlichen Schl\u00fcsseln verwendet.<\/p>\n\n\n\n

Kryptographie mit \u00f6ffentlichem Schl\u00fcssel<\/strong><\/p>\n\n\n\n

Die Kryptografie mit \u00f6ffentlichem Schl\u00fcssel oder asymmetrische Kryptografie ist eine Verschl\u00fcsselungstechnik, bei der ein mathematisch verwandtes und nicht identisches Schl\u00fcsselpaar zum Signieren oder Verschl\u00fcsseln von Daten verwendet wird. Diese beiden Schl\u00fcssel werden als \u00f6ffentlicher Schl\u00fcssel (der mit der anderen Partei geteilt wird) und privater Schl\u00fcssel (der geheim gehalten wird) bezeichnet. Der \u00f6ffentliche Schl\u00fcssel wird zur Verschl\u00fcsselung von Daten verwendet und kann nur mit dem entsprechenden privaten Schl\u00fcssel entschl\u00fcsselt werden.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: WSO2<\/figcaption><\/figure>\n\n\n\n

Es ist rechnerisch nicht machbar, den privaten Schl\u00fcssel mit dem entsprechenden \u00f6ffentlichen Schl\u00fcssel zu berechnen. Daher kann der \u00f6ffentliche Schl\u00fcssel frei weitergegeben werden, so dass die vorgesehenen Parteien nur die Daten verschl\u00fcsseln k\u00f6nnen, die die Partei mit dem privaten Schl\u00fcssel entschl\u00fcsseln kann. Beim digitalen Signieren signiert der Absender die Daten mit dem privaten Schl\u00fcssel und der Empf\u00e4nger verifiziert sie mit dem \u00f6ffentlichen Schl\u00fcssel. Das Signieren ist nichts Anderes als ein Hashing der Zeichenfolge oder der Nachricht mit dem privaten Schl\u00fcssel.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: WSO2<\/figcaption><\/figure>\n\n\n\n

FIDO, „Fast Identity Online“, ist eine Reihe offener Standards, die entwickelt wurden, um eine schnelle, einfache und st\u00e4rkere Form der Authentifizierung zu erm\u00f6glichen, indem die Verwendung von Passw\u00f6rtern \u00fcberfl\u00fcssig gemacht wird. Diese Standards wurden von der FIDO Alliance entwickelt. FIDO besteht aus zwei Ereignissen: Registrierung und Authentifizierung.<\/p>\n\n\n\n\n\n\n\n

Bei der Registrierung wird ein Schl\u00fcsselpaar erzeugt und auf dem Server gespeichert. Da es sich um Public-Key-Kryptographie handelt, ist der gemeinsame Schl\u00fcssel, der auf dem Server gespeichert wird, der \u00f6ffentliche Schl\u00fcssel. Um den Registrierungsvorgang zu starten, gibt ein authentifizierter Benutzer an, dass er einen Sicherheitsschl\u00fcssel registrieren m\u00f6chte. Dies kann durch Anklicken einer Schaltfl\u00e4che auf der Benutzeroberfl\u00e4che oder durch Senden eines API-Aufrufs geschehen. Dann sendet der Server nach Durchf\u00fchrung der erforderlichen Validierungen eine Aufforderung an das Authentifizierungsger\u00e4t (Sicherheitsschl\u00fcssel). Diese Challenge ist eine zuf\u00e4llige Zeichenfolge mit einer vordefinierten L\u00e4nge. Das Authentifizierungsger\u00e4t fordert den Benutzer zun\u00e4chst auf, sich zu verifizieren, zum Beispiel durch einen Fingerabdruckscan, einen Kamerascan, eine PIN und so weiter. Das Authentifizierungsger\u00e4t generiert dann ein neues Schl\u00fcsselpaar und signiert die Challenge mit dem \u00f6ffentlichen Schl\u00fcssel. Die signierte Abfrage wird zusammen mit dem generierten \u00f6ffentlichen Schl\u00fcssel als Antwort an den Server zur\u00fcckgeschickt. Der Server f\u00fchrt dann die erforderlichen \u00dcberpr\u00fcfungen durch und speichert den empfangenen \u00f6ffentlichen Schl\u00fcssel.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: WSO2<\/figcaption><\/figure>\n\n\n\n

Der Authentifizierungsvorgang ist das Ereignis, bei dem die Authentifizierung mit einem registrierten Sicherheitsschl\u00fcssel oder Ger\u00e4t erfolgt. Zu Beginn des Authentifizierungsvorgangs gibt ein Benutzer an, dass er sich mit einem FIDO-Sicherheitsschl\u00fcssel anmelden m\u00f6chte. Der Server generiert dann eine zuf\u00e4llige Challenge und sendet sie an das Authentifizierungsger\u00e4t. Das Authentifizierungsger\u00e4t \u00fcberpr\u00fcft die Identit\u00e4t des Benutzers (anhand von biometrischen Merkmalen, PIN und so weiter) und signiert nach erfolgreicher \u00dcberpr\u00fcfung die Challenge mit dem gespeicherten privaten Schl\u00fcssel und sendet sie an den Server zur\u00fcck. Der Server verifiziert dann die Anfrage mit dem gespeicherten \u00f6ffentlichen Schl\u00fcssel und authentifiziert den Benutzer f\u00fcr den angeforderten Dienst.<\/p>\n\n\n\n

\"\"<\/a>
Grafik: WSO2<\/figcaption><\/figure>\n\n\n\n

FIDO bedeutet, dass dies in Hardware und Protokoll umgesetzt wird. Die Kommunikation wird mit anderen Informationen in Bezug auf den Benutzer, den Sicherheitsschl\u00fcssel und den Server eingebettet, wenn diese in den eigentlichen Fluss integriert werden. Das FIDO-Protokoll besteht auf der Durchf\u00fchrung einiger Verifizierungsschritte f\u00fcr die Nutzdaten der Registrierung (attestation) und Authentifizierung (assertion).<\/p>\n\n\n\n

Die Zukunft FIDO2<\/strong><\/p>\n\n\n\n

Der FIDO-Flow eignet sich sehr gut f\u00fcr diejenigen, die eine passwortlose Erfahrung machen wollen. Er ist schnell, einfach und stark, aber der einzige Nachteil ist, dass der Benutzer ein kleines Sicherheitsger\u00e4t bei sich tragen muss, um sich mit FIDO anzumelden. Die Mehrheit der Anwender z\u00f6gert, ein spezielles Ger\u00e4t f\u00fcr die Authentifizierung zu kaufen. In Anbetracht dieser Einschr\u00e4nkung hat die FIDO Alliance ein neues Protokoll namens FIDO2 eingef\u00fchrt, das auf dem bestehenden FIDO-Flow aufbaut und die WebAuthn-API enth\u00e4lt. WebAuthn-API erm\u00f6glicht die Verwaltung von Anmeldeinformationen mit Plattform-Authentifikatoren \u00fcber unterst\u00fctzte Webbrowser. Plattform-Authentifikatoren sind Sicherheitsger\u00e4te (wie Fingerabdruckscanner, Touch ID, Face ID und so weiter), die in Laptops und mobile Ger\u00e4te eingebaut sind. Mit FIDO2 k\u00f6nnen sich die Nutzer dank der in den Ger\u00e4ten integrierten biometrischen Funktionen passwortlos anmelden.<\/p>\n","protected":false},"excerpt":{"rendered":"

FIDO ist ein Begriff, von dem man h\u00e4ufig im Bereich der passwortlosen Authentifizierung h\u00f6rt. Authentifizierung ist der Prozess, bei dem festgestellt wird, ob jemand derjenige ist, der er vorgibt zu sein. Man greift auf eine Softwareanwendung oder ein Cloud-System zu, gibt seine Benutzernamen und Kennwort ein oder verwendet eine Social Login. Das System authentifiziert dann die Angaben und f\u00fchrt die Anmeldung durch.<\/p>\n","protected":false},"author":1,"featured_media":22194,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,15078],"tags":[6257,7378,3753,6267,16846],"class_list":["post-22191","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-authentifizierung","tag-cloud","tag-fido","tag-passwort","tag-verschlusselung","tag-wso2"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22191","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=22191"}],"version-history":[{"count":4,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22191\/revisions"}],"predecessor-version":[{"id":22201,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/22191\/revisions\/22201"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/22194"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=22191"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=22191"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=22191"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}