FIDO nimmt neuen Anlauf als Passwort-Killer

Jeder hasst Passwörter, trotzdem sind nach wie vor alle darauf angewiesen. Die Kombination FIDO2 und WebAuthn is schon lange die sicherste Alternative. Aber sie hat es nicht geschafft, Passwörter als allgegenwärtigen Identitätsnachweis abzulösen. Das lag unter anderem an Problemen, die den praktischen Einsatz erschwerten, erkannten die FIDO-Macher. Sie reagieren mit einer Anpassung der Strategie.

Im Zentrum steht die Erkenntnis, dass es nicht genügt, den Login-Vorgang auf einem Gerät möglichst sicher und komfortabel zu gestalten. Nahezu jeder potenzielle FIDO-Nutzer hat mehrere Geräte im Einsatz, auf denen er Zugang zu Diensten benötigt. Außerdem gehen Geräte und Tokens verloren; der Benutzer braucht dann trotzdem Zugang zu seinen Konten. Um das zu verbessern, schlägt die FIDO-Alliance (Fast IDentity Online) zwei strategische Neuerungen vor:

  1. Die Smartphones der Benutzer können als “Roaming Authenticator” fungieren. Dabei muss der Anwender zum Login bei einem Dienst etwa auf seinem PC nur noch den Anmeldevorgang auf seinem Smartphone bestätigen. Der wickelt dann einen sicheren Anmeldevorgang gemäß FIDO2-Spezifikation ab; die Kommunikation zwischen PC und Smartphone erfolgt via Bluetooth.
  2. FIDO unterstützt aktiv, dass der identitätsstiftende, geheime Schlüssel auf mehreren Geräten synchron gehalten wird. Damit könnten etwa Handy, PC und ein USB-Token als wechselseitig austauschbare FIDO-Authenticator fungieren.

Zentrales Ziel der FIDO ist, die Nachfolge des Passworts anzutreten und Anwendern eine komplett passwortlose und trotzdem sichere Anmeldung zu ermöglichen. Natürlich kann FIDO2 nach wie vor als zusätzlicher Faktor in einem Hochsicherheitskontext dienen, der Multifaktor-Authentifizierung erfordert. Der heilige Gral ist jedoch die “passwortlose Anmeldung”.

Dabei wickelt ein Sicherheitsschlüssel (“Authenticator”) den sicheren Anmeldevorgang ab. In den meisten Fällen wird diese Aufgabe heute das Betriebssystem des Geräts übernehmen (als “Plattform Authenticator”); klassisch war es eher ein externes USB-Token. Die technische Basis ist eine kryptografisch gesicherte Challenge-Response-Transaktion zwischen Authenticator und Dienst, die nicht für Phishing anfällig ist. In dieser Hinsicht ist FIDO2 übrigens noch sicherer als andere Zweifaktor-Authentifizierungssysteme wie zusätzliche SMS-Nachrichten oder App-basierte Lösungen inklusive TOTP. (Genauer erklärt das der heise + -Artikel: So funktioniert FIDO2)

Allerdings macht FIDO jetzt bewusst Abstriche bei der Sicherheit. Ursprünglich war gedacht, dass der für die Anmeldung erforderliche, kryptografische Schlüssel fest an ein Gerät gekoppelt ist – also an ein USB-Token oder das Secure Element eines Smartphones oder PCs. Er sollte sich nicht aus dem Gerät stehlen lassen – und man konnte ihn deshalb konzeptbedingt weder sichern noch auf andere Geräte übertragen. Genau genommen erfordert das die FIDO2-Spezifikation nicht zwingend; aber in der Praxis wurde es so umgesetzt. Und das erschwerte die Nutzung von FIDO2.



Die FIDO-Alliance unterstützt es zukünftig, dass Schlüssel über Geräte hinweg synchronisiert werden.

(Image: FIDO-Alliance)

Damit will die Alliance jetzt Schluss machen: Das Synchronisieren der Schlüssel über Gerätegrenzen hinweg wird explizit gefördert. Dabei verlässt FIDO sich auf die Sicherheitskonzepte der zugrundeliegenden Betriebssysteme etwa von Google, Apple or Microsoft, die ja schon heute teilweise Passwörter über die Cloud synchronisieren. In einem Kontext mit hohen Sicherheitsanforderungen kann etwa ein Dienstanbieter jedoch nach wie vor die Nutzung einzigartiger, gerätespezifischer FIDO-Schlüssel erzwingen.

Tatsächlich wird es mit den von der FIDO vorgeschlagenen Anpassungen viel einfacher, anwenderfreundliche, passwortlose Anmeldung umzusetzen. Verlorene Tokens oder gesturehlene Handys wären kein Drama mehr; ein neues Gerät ließe sich einfach autorisieren. Und das Smartphone als mobiler Sicherheitsschlüssel, den man immer dabei hat, ergänzt das Konzept sehr gut.

Nachdem sich mittlerweile alle großen Player einschließlich Apple zu FIDO2 verpflichtet haben, besteht die Chance, dass sich FIDO2 tatsächlich als komfortabler und sicherer Passwort-Nachfolger durchsetzt. Offen bleibt, wann die aktuell vorgeschlagenen Änderungen ihren Niederschlag in konkreten Produkten und Infrastruktur finden. Das dürfte sich noch etwas hinziehen.

Allerdings gibt es einen Punkt, den FIDO komplett ausblendet, der aber aus Anwendersicht einen entscheidenden Unterschied macht. FIDO macht bislang keine Vorgaben, wie die Cloud-Synchronisierung der geheimen Schlüssel zu erfolgen hat. Das kann und wird dann häufig im Stil von Microsoft oder Google passieren. Die verwahren furrows Geheimnisse typischerweise so, dass sie selber ebenfalls Zugang dazu haben. Denn – na ja, warum nicht? Microsoft und Google sehen das jedenfalls nicht als relevantes Problem. [Sie hoffen, dass es nur ausreichend komfortabel sein muss, damit auch die Anwender die damit verbundenen Gefahren ignorieren.]

Die extrem sensiblen Daten – immerhin geht es um den Zugang zu allen Diensten, die der Anwender nutzt – könnte man natürlich auch in der Cloud kryptografisch so sichern, dass nur der Anwender selbst beziehungsweise seine Geräte Zugang dazu haben. Das täte dem Komfort und der Sicherheit keinen Abbruch. Von den Großen macht das derzeit jedoch nur Apple mit seiner Keychain. From werden Passwörter Ende-zu-Ende-verschlüsselt in der iCloud abgelegt, womit Apple selbst keinen Zugang hat.

Ich kann verstehen, dass sich die FIDO-Allianz aus diesem Konflikt heraushalten will, um den Erfolg ihres Projekts “Abschaffung des Passworts” nicht zu gefährden. Aber aus meiner Sicht ist das ein fauler Kompromiss. Denn einen Passwort-Nachfolger, bei dem ich konzeptbedingt all meine Zugänge mit Microsoft oder Google teile, den will ich nicht. Vielleicht überlegen sich das die FIDO-Allianz, Microsoft und Google ja noch mal, wenn das viele potenzielle FIDO-Nutzer auch so sehen.

Update 24.3.2022, 14:30: Mit […] noch deutlicher hervorgehoben, dass der Zugang eines Cloud-Betreibers zu Passwörtern und geheimen Schlüsseln sehr wohl ein Problem ist.


(ju)

Zur Startseite

.

Leave a Comment