FIDO U2F – als der neue Standard zur Authentifizierung

FIDO Universal Second Factor (U2F) hat sich mittlerweile zum neuen Standard zur Authentifizierung entwickelt. Seit einiger Zeit sehen viele Unternehmen in FIDO U2F eine erfolgreiche Lösung zur starken Authentifizierung:

“As the world rapidly changes, our involvement in the FIDO Alliance will help ensure we continue to provide the convenient and secure solutions our customers want.” Bank of America

“Joining the FIDO Alliance is a great way to increase industry momentum around open standards for strong authentication.” Google

“As a contributor to the FIDO Alliance working groups on next generation authentication, we look forward to furthering our innovation and thought leadership in the identity space.” Microsoft

 

Mit dem FIDO (Fast IDentity Online) U2F Standard entsteht eine neue, vereinfachte und sichere Möglichkeit zur Authentifizierung die für jeden User erschwinglich ist. Viele top Unternehmen unterstützen diesen und beteiligen sich an der Weiterentwicklung in der FIDO Alliance. Die dort entwickelten Protokolle basieren auf öffentlichen Schlüsseln und sind stark gegen Phishing resistent.
FIDO verfolgt die Kernziele Benutzerfreundlichkeit, Datenschutz und Sicherheit sowie Standardisierung. Der erste Dienst, der eine U2F Authentifizierung mit dem FIDO Security Key den Usern ermöglicht hat, ist der Internetriese Google. Die einzigen technischen Voraussetzungen für die Nutzung des U2F ist die Installation eines Google Chrome Browsers in der aktuellen Version 89 und ein Security Key, den es bei Amazon schon ab 15 € gibt. Dieser Key wird von den Herstellern plug-up, yubico und Feitian angeboten. Wir haben die U2F Authentifizierung mit einem Google Account und dem Security Key von plug-up getestet.

U2F (Universal Second Factor) ist ein Standard für die Zwei-Faktor-Authentifizierung. Dieser ermöglicht einen sicheren und einfachen Zugang zu jedem Webservice. U2F nutzt ein Public-Key Verschlüsselungsverfahren um eine starke Authentifizierung sicherzustellen.
Wenn der User sich bei einem Dienst registriert, generiert der Security Key einen privaten und öffentlichen Schlüssel. Dabei wird der öffentliche Schlüssel an den Onlinedienst verschickt. Der private Schlüssel des Clients kann nur lokal verwendet werden wenn der Nutzer den Security Key über USB verwendet.

Die FIDO Protokolle wurden entwickelt, um die Privatsphäre der User zu schützen und Sicherheit im Internet sicherzustellen. Der Security Key speichert keine Daten über den User und somit ist keine Weiterverfolgung und Zusammenführung der Nutzerdaten möglich. FIDO U2F wird durch das Universal Authentication Framework (UAF) unterstützt. Der User registriert zunächst sein Authentifizierungsgerät (Security Key) im Dienst den er nutzen möchte. Bei der nächsten Anmeldung kann sich der User so durch dieses Gerät authentifizieren.
U2F bietet Webdiensten die Möglichkeit ihre Password-Infrastruktur durch die Einbindung des Security Keys bzw. eines zweiten Authentifizierungsfaktors zu erweitern und verbessern. Dabei meldet sich der User zunächst mit seinen Credentials am Dienst an und steckt danach den Key in den USB-Port zur Authentifizierung ein und ist schon angemeldet.
So können auch vereinfachte Passwörter (wie z.B. vierstellige PINs) verwendet werden. Dies bietet ein vereinfachtes Password Management für den User, da sich dieser kein komplexes Passwort mehr merken muss. Der Nutzer kann einen Security Key auch für mehrere Onlinedienste, die FIDO U2F unterstützen, zur Authentifizierung nutzen.

Der Security Key bzw. der FIDO U2F Standard bietet den Nutzern eine einfache und sichere Möglichkeit zur Authentifizierung. Viele Marktführer wie PayPal, Google oder AliPay, der größte Onlinebezahldienst in China, unterstützen eine Weiterentwicklung dieses Standards. Auch Zusammenfassend ist der Security Key mit FIDO U2F eine Innovation die den User beim Password- und Identity Management unterstützt. Mittlerweile hat sich FIDO U2F als Best Practice Standard zur Authentifizierung etabliert.

 

 

 

 

 

Autor
Medin Imamovic, Senior IT-Consultant

Ähnliche
Artikel

Sie sehen richtig _ hier fehlt etwas sehr Wichtiges: das A, das B und das O.
Sie interessieren sich für die Umsetzung einer nachhaltigen Compliance-Strategie mit ‘Data-Centric Security’?