Fido: Sichere 2FA und Passwort-Killer

Fido ist wahrscheinlich das 2FA-System mit den höchsten Ansprüchen: Es soll einerseits sehr einfach zu benutzen sein, andererseits eine extrem hohe Sicherheit bieten und zu alledem auch noch die Passwörter abschaffen. Neben Fido-Sticks, also USB-Sicherheitsschlüsseln, mit denen man sich auf Knopfdruck per Fido bei Diensten anmelden kann, haben auch Betriebssysteme wie Android, iOS oder Windows via Windows Hello entsprechende Funktionen an Bord.

Stellenmarkt
  1. SAP ABAP Backend Entwickler (m/w/d)
    Digital Building Solutions GmbH, Sendenhorst (Münster)
  2. Oracle Apex Entwickler (m/w/d) für IT Service und Digitalisierung
    Wilma Immobilien GmbH, Ratingen
Detailsuche

Im Hintergrund kommt hierbei Public-Key-Kryptografie zum Einsatz, ähnlich wie bei PGP oder SSH. Der öffentliche Schlüssel wird zwischen Nutzern und Webdienst ausgetauscht. Wer sich einloggen will, erhält eine Challenge vom Dienst, mit der er oder sie den Besitz des privaten Schlüssels nachweist - ohne dass der private Schlüssel das Gerät verlässt. Das Ergebnis wird an den Dienst geschickt, der über den öffentlichen Schlüssel überprüft, ob die sich einloggende Person auch wirklich im Besitz des privaten Schlüssels ist.

Von alledem bekommen die Anwender aber nichts mit: Sie müssen nach der Eingabe von Nutzername und Passwort nur einen Knopf auf einem Fido-Stick drücken oder die Fido-Funktion des Betriebssystems verwenden und sind durch einen phishingresistenten zweiten Faktor geschützt. Denn einerseits sind die Keys für jede Webseite unterschiedlich, anderseits werden keine abfishbaren Zahlen übertragen.

Passwortlos durch das Web

Da die Technik deutlich sicherer als ein Passwort ist, kann sie dieses auch ersetzen. Beim Log-in-Vorgang beispielsweise bei einer Nextcloud muss nur noch der Nutzername eingegeben und der entsprechende Button des Fido-Sticks beziehungsweise des Betriebssystems bestätigt werden. Der Bestätigungsvorgang kann beziehungsweise sollte zusätzlich biometrisch gesichert oder per PIN geschützt werden, welche am Rechner eingetippt werden muss.

Golem Karrierewelt
  1. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    28.06.-01.07.2022, virtuell
  2. IT-Sicherheit für Webentwickler: virtueller Zwei-Tage-Workshop
    14./15.09.2022, Virtuell
Weitere IT-Trainings

Etwas aufwendig kann dabei allerdings die Verwaltung der Geräte sein. So sollten Anwender immer mehrere Fido-Geräte beim jeweiligen Dienst hinterlegen, damit man im Falle des Verlustes eines Geräts nicht vor verschlossener Tür steht. Alternativ kann auch ein zusätzliches 2FA-System wie TOTP aktiviert werden, mit dem man im Falle des Falles das Konto wieder öffnen kann - damit setzt man allerdings die sehr hohe Sicherheit von Fido herab.

Zukünftig sollen Betriebssysteme Passkeys synchronisieren

Um diesem Problem zu begegnen, haben Google, Apple und Microsoft im Mai 2022 eine neue Fido-Funktion angekündigt, die im Laufe des Jahres unter allen ihren Betriebssystemen zur Verfügung stehen sollen. So sollen die Fido-Keys (auch Passkeys genannt) in Zukunft auf mehreren und auch auf neuen Geräten automatisch zur Verfügung stehen.

Bei der Einrichtung eines neuen iPhones sollen dann beispielsweise nicht nur Backups und Einstellungen aus Apples Cloud heruntergeladen werden, sondern auch die Passkeys, mit denen sich die Nutzer dann bei Apps und Onlinediensten anmelden können. Offen bleibt allerdings die Frage, wie reibungslos dieser Prozess bei einem Wechsel von iOS zu Android oder umgekehrt funktioniert - oder wie die Passkeys zu einem Windows-Rechner übertragen werden sollen. Zudem werden die Nutzer ein entsprechendes Cloud-Konto bei Apple, Google oder Microsoft benötigen, um die Passkeys in der Cloud zu speichern.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Fido-Sticks mit Fido2

Wer lieber einen physischen Fido-Stick mag, sollte beim Kauf darauf achten, dass der Stick Fido2 unterstützt, da nur mit diesem auch passwortloses Anmelden möglich ist. Das ältere Fido1 beziehungsweise Fido U2F unterstützt ausschließlich den Einsatz als zweiten Faktor. Die Titan-Sticks von Google unterstützen beispielsweise bisher nur Fido U2F.

Empfehlenswert sind hingegen die Open-Source-Sicherheitsschlüssel von Solokeys (Test) oder Nitrokey (Test). Für ein biometrisch gesichertes Log-in ohne die Eingabe einer PIN eignet sich der Yubikey Bio (Test). Alternativ können die Fido2-Funktionen der Betriebssysteme Android, iOS oder Windows verwendet werden.

Fido ist durch seine Phishingresistenz ein sehr sicheres 2FA-Verfahren, mit dem selbst Passwörter abgeschafft werden können. Bietet ein Dienst die Technik an, sollte sie verwendet werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 TOTP: Der Schlüssel zum 30-Sekunden-Code2FA-App: Wenn der zweite Faktor hundertmal klingelt 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6. 5
  7.  


Truster 27. Jun 2022 / Themenstart

War/Ist bei Micrsosoft tatsächlich sehr leicht möglich, denn die App zeigt dir nicht an...

gunterkoenigsmann 26. Jun 2022 / Themenstart

In den Account-Einstellungen unter "mein Konto sichern".

JE 26. Jun 2022 / Themenstart

.. und selbstgeschriebene Verfahren. "Statt auf etablierte Verfahren wie Fido oder TOTP...

robinx999 26. Jun 2022 / Themenstart

Prepaid zahlung ist bei Google, Amazon, Netflix überhaupt kein Problem. Bei Spotify ist...

Kommentieren



Aktuell auf der Startseite von Golem.de
Klima-Ticket
Bund plant Nachfolger für Neun-Euro-Ticket

Das Neun-Euro-Ticket könnte als Klimaticket weiterlaufen. Das geht aus einem Vorschlag für ein neues Klimaschutzsofortprogramm hervor.

Klima-Ticket: Bund plant Nachfolger für Neun-Euro-Ticket
Artikel
  1. Vitali Klitschko: Zweifel an Giffeys Deepfake-These
    Vitali Klitschko
    Zweifel an Giffeys Deepfake-These

    Die Berliner Staatskanzlei spricht von einem Deepfake beim Gespräch zwischen Bürgermeisterin Franziska Giffey und dem falschen Klitschko. Nun gibt es eine neue These.

  2. Feuerwehr: E-Auto-Brand zerstört Haus - Photovoltaik erschwert Löschen
    Feuerwehr
    E-Auto-Brand zerstört Haus - Photovoltaik erschwert Löschen

    Feuerwehrleute in Hessen hatten Probleme, einen Elektroauto-Brand, der auf ein Wohngebäude übergriff, zu löschen. Auf dem Dach befand sich Photovoltaik.

  3. Studie VW ID.Aero vorgestellt: Elektrischer Passat soll 620 km weit kommen
    Studie VW ID.Aero vorgestellt
    Elektrischer Passat soll 620 km weit kommen

    Nach der elektrischen Kompaktklasse und SUVs legt VW nun mit einer Limousine nach. Die Studie ID.Aero erinnert sehr stark an ein Verbrennermodell.
    Ein Bericht von Friedhelm Greis

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MSI 32" WQHD 165 Hz günstig wie nie: 399€ • Saturn-Fundgrube: Restposten zu Top-Preisen • MindStar (AMD Ryzen 9 5900X 375€, Gigabyte RX 6900 XT 895€) • Samsung Galaxy Watch 4 Classic 46 mm 205€ [Werbung]
    •  /