Der Internetstandard FIDO2 möchte Passwörter überflüssig machen. Die Anmeldung bei Online-Diensten soll damit einfacher und sicherer werden. Teilweise befindet sich FIDO2 noch in Entwicklung, aber einiges geht heute schon mit dem Passwort-Nachfolger.
FIDO2 bedeutet "Fast Identity Online 2" und wird von der gemeinnützigen FIDO-Alliance vorangebracht. Dazu gehören unter anderem große Unternehmen wie Amazon, Microsoft, Google, IBM, Mozilla, Intel, Facebook, Mastercard, Paypal und Samsung. Insofern ist das Bestreben, Passwörter zu ersetzen, nicht zu unterschätzen. Aber was ist FIDO2 überhaupt?
So funktioniert FIDO2
FIDO2 nutzt unter anderem Sicherheitsmechanismen, die bereits von Smartphones und PCs bekannt sind: Gesichtserkennung und Fingerabdrucksensor. Die sicherste Option ist ein sogenannter "Token". Das ist ein privater Sicherheitsschlüssel, den man sich an den Schlüsselbund hängen kann. Er wird via USB, NFC oder Bluetooth mit PC oder Smartphone verbunden und so gelingt der Login in Online-Dienste wie etwa in das Microsoft-Konto. Solche Token sind heute schon für um die zehn Euro erhältlich.
Wer sich mit einer FIDO2-Identität einloggen möchte, benötigt also eine bestimmte Hardware, nämlich Token oder Smartphone beziehungsweise PC mit biometrischen Sensoren. Das bekannteste Beispiel ist wohl Windows Hello – der in Windows integrierte Anmeldedienst lässt sich als FIDO2-"Authenticator" verwenden, also für die Entsperrung entsprechender Dienste und Websites. Identitätsdiebstahl durch Servereinbrüche, Trojaner oder Phishing, wie sie durch Passwortdiebstahl ermöglicht werden, sind damit Vergangenheit.
Heute schon bieten Facebook, Twitter, Dropbox, Github und einige weitere Dienste den Login mit FIDO2 für die zweistufige Authentifizierung an. Internetdienste müssen dafür den Standard U2F unterstützen, was auch für den verwendeten Browser gilt. Chrome und Microsoft Edge sind kompatibel, Firefox nach einer Aktivierung (about:config > security.webauth.u2f > true) und ab iOS 13 auch Apples Safari.
Aber was, wenn der Sicherheitsschlüssel gestohlen wird? Bestimmte Tokens haben dagegen vorgesorgt. Für den unbefugten Zugang ist mehr erforderlich, denn die Nutzer müssen nicht nur auf die Taste drücken, sondern außerdem eine vierstellige PIN eingeben oder einen Fingerabdrucksensor beziehungsweise Gesichtserkennung auf den Endgeräten nutzen. Der Eigentümer kann den gestohlenen Stick online löschen und einen Ersatzstick verwenden, den man sich am besten gleich dazu kaufen sollte.
Noch wird FIDO2 selten unterstützt
Noch wird FIDO2 von den meisten Diensten und Websites nur in der 2-Faktor-Authentifizierung oder gar nicht unterstützt. Immerhin funktioniert die Sicherung mit Token indirekt via Passwortmanager, wenn dieser einen Login mit FIDO2 anbietet. Praktisch wäre es, wenn mehr Dienste und Websites Windows Hello als sicheren Anmeldedienst zulassen würden. Dann müssten die Nutzer nur noch in ihre 3D-Kamera blicken und schon wären sie in ihrer Cloud, in Online-Shops und bei anderen Websites eingeloggt.
Zusammenfassung
- Der Internetstandard FIDO2 soll Passwörter ersetzen
- Das funktioniert mit bestimmten Schlüsselanhängern oder mit biometrischen Entsperrmethoden
- Windows Hello unterstützt FIDO2
- Noch lässt die FIDO2-Verbreitung zu wünschen übrig
