{"id":8752,"date":"2022-02-01T15:08:00","date_gmt":"2022-02-01T14:08:00","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=8752"},"modified":"2026-02-16T08:39:14","modified_gmt":"2026-02-16T07:39:14","slug":"authentisieren-authentifizieren-autorisieren","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/authentisieren-authentifizieren-autorisieren\/","title":{"rendered":"Authentisieren, authentifizieren und autorisieren: FIDO2"},"content":{"rendered":"

Im letzten Teil unserer Serie \u201eAuthentisieren, authentifizieren & autorisieren\u201c<\/a> stellen wir Ihnen mit FIDO2 eine Alternative zum konventionellen Passwort-Log-in vor. Auf Zwei- oder Mehr-Faktor-Authentifizierung setzend, werden Sicherheitsschl\u00fcssel sowie Hardware-Tokens f\u00fcr den Login-Vorgang verwendet. Im heutigen Blogbeitrag kl\u00e4ren wir zun\u00e4chst, was FIDO2 konkret ist und wie die passwortlose Anmeldung funktioniert, um dann auf die Vor- und Nachteile der Methode einzugehen. Zudem blicken wir auf interessante Zukunftsperspektiven des neuen Sicherheitsstandards.<\/p>\n

FIDO2: Sicherheitsstandard f\u00fcr verschl\u00fcsselte, anonyme Log-ins<\/h2>\n

Mit dem Sicherheitsstandard FIDO2 \u2013 einem Verfahren, welches auf Mehr-Faktor-Authentifizierung setzt \u2013 gelingen verschl\u00fcsselte, anonyme und passwortfreie Log-ins. Die Spezifikation FIDO2 stammt von der non-kommerziellen FIDO-Allianz<\/a> (Fast Identity Online), deren Gr\u00fcndende es sich zum Ziel gesetzt haben, offene, lizenzfreie Standards f\u00fcr Web-Authentifizierungen zu entwickeln. Die FIDO-Allianz zeichnet sich \u2013 neben FIDO2 \u2013 auch f\u00fcr die Standards FIDO Universal Authentication Framework (FIDO UAF) und FIDO Universal Second Faktor (FIDO U2F) verantwortlich.<\/p>\n

Im Jahr 2012 ins Leben gerufen, gr\u00fcndeten seinerzeit PayPal, Nok Nok Labs, Infineon, Lenovo, Validity Sensors sowie Agnitio die FIDO-Allianz. 2013 gesellten sich Yubico, Google und NXP dazu; heute geh\u00f6ren der FIDO-Allianz hunderte Unternehmen aus der ganzen Welt an. Um die Standards zu etablieren, ging man im Laufe der Jahre diverse Kooperationen ein, darunter mit Microsoft und Samsung. Die F\u00fchrungsriege setzt sich<\/a> derzeit aus Sam Srinivas, Pr\u00e4sident der FIDO-Allianz und bei Google besch\u00e4ftigt, Sean Estrada, Vize-Pr\u00e4sident und bei Amazon besch\u00e4ftigt, und weiteren zusammen.<\/p>\n

In enger Zusammenarbeit mit dem World Wide Web Consortium (W3C) wurde der Standard WebAuthn mit dem Client to Authenticator Protocol (CTAP) kombiniert. Im Verbund von Protokoll und Standard ist mit FIDO2 eine Authentifizierung m\u00f6glich, bei der sich Nutzende mit verschiedenen Faktoren<\/a> (Biometrie, PINs, die FIDO-Keys oder Mobilger\u00e4ten) bei vertrauensw\u00fcrdigen FIDO2-Servern (WebAuthn-Gegenstellen) ausweisen. Diese Gegenstellen geh\u00f6ren \u00fcblicherweise zu einem Web-Dienst oder einer -App.<\/p>\n

Die Funktionsweise von FIDO2<\/h3>\n

Die herk\u00f6mmliche Nutzer-Passwort-Anmeldung wird mit FIDO2 kryptografisch durch FIDO2-Schl\u00fcssel, au\u00dferdem durch FIDO2-Token erg\u00e4nzt. Auch eine Authentifizierung g\u00e4nzlich ohne Passworteingabe ist m\u00f6glich. Da FIDO2 ein offener Standard ist, l\u00e4sst sich das Verfahren recht simpel in Soft- und Hardware implementieren.<\/p>\n

Um den Wegfall von Passw\u00f6rtern zu f\u00f6rdern, ist es zun\u00e4chst notwendig, einen sicheren Kommunikationsweg zwischen Browser (Client) und dem jeweiligen Webservice zu registrieren. Dabei werden die schon kurz erw\u00e4hnten FIDO2-Keys generiert und verifiziert. Somit kann das Anmeldeverfahren verschl\u00fcsselt werden. Nutzende, die sich bei einem Online-Service, der FIDO2 nutzt, registrieren, erzeugen dabei auf dem genutzten Ger\u00e4t ein Schl\u00fcsselpaar: einen privaten sowie einen \u00f6ffentlichen FIDO2-Key.<\/p>\n

Der private Schl\u00fcssel bleibt auf dem Ger\u00e4t der Registrierung gespeichert \u2013 er ist ausschlie\u00dflich clientseitig bekannt. Der \u00f6ffentliche Schl\u00fcssel hingegen wird in der Schl\u00fcsseldatenbank des Webservices registriert. M\u00f6chten sich Nutzende nun authentifizieren, gelingt dies ausschlie\u00dflich dann, wenn der private Schl\u00fcssel nachgewiesen werden kann. F\u00fcr diesen Nachweis stehen verschiedene Verfahren zur Verf\u00fcgung: PINs k\u00f6nnen eingegeben, Buttons gedr\u00fcckt werden, Spracheingaben sind m\u00f6glich oder eine Mehr-Faktor-Hardware wie der FIDO2-Token denkbar. Immer mehr Betriebssysteme \u2013 darunter Android in aktuellen Versionen sowie Windows ab Version 10 \u2013 sind in der Lage, ebenfalls als Sicherheitstoken zu fungieren.<\/p>\n

Bei dem ganzen Verfahren ist die WebAuthn-API f\u00fcr das Kommunizieren zwischen Server und Client zust\u00e4ndig. Das CTAP-Protokoll hingegen \u00fcbernimmt die Kommunikation zwischen Client und Authenticator. Faktoren, die der Authenticator verwendet \u2013 seien es PINs, biometrische Merkmale oder Wissen \u2013 verlassen das lokale Endger\u00e4t w\u00e4hrend des gesamten Authentifizierungsvorgangs nicht.<\/p>\n

Vor- und Nachteile der passwortlosen Anmeldung mit FIDO2<\/h3>\n

Verglichen mit konventionellen Nutzer-Passwort-Log-in-Verfahren bietet FIDO2 dank Multi-Faktor-Authentifizierung eine deutlich kleinere Angriffsfl\u00e4che f\u00fcr Cyberkriminelle. Passw\u00f6rter sind und bleiben eine Achillesferse: mit den richtigen Tools ist es ein Leichtes, sie in Erfahrung zu bringen. Um Zugriff auf ein mit FIDO2-gesichertes Nutzerkonto zu erhalten, m\u00fcssten Angreifende schon \u00fcber die weiteren Faktoren verf\u00fcgen. FIDO2-Tokens lassen sich f\u00fcr unterschiedliche Webservices nutzen \u2013 ein weiterer Vorteil, denn so wird es unn\u00f6tig, weitere Passw\u00f6rter zu kreieren und sich diese zu merken.<\/p>\n

Mit FIDO2 wird ein h\u00f6heres Sicherheitslevel erreicht: Dank standardm\u00e4\u00dfig verschl\u00fcsseltem Log-in l\u00e4sst sich der Anmeldevorgang nur mit dem registrierten Ger\u00e4t entsperren. Gleichzeitig l\u00e4sst FIDO2 den Nutzerkomfort steigen: Verschiedene Passw\u00f6rter werden genauso unn\u00f6tig wie das Eingeben der Passw\u00f6rter selbst. Es gen\u00fcgt \u2013 je nach gew\u00e4hlter Option \u2013 ein Klick auf einen Button, das Einstecken des Hardware-Tokens oder eine Spracheingabe.<\/p>\n

Phishing \u2013 eine der h\u00e4ufigsten Angriffsmethoden derzeit \u2013 wird vorgebeugt: selbst wenn Kriminellen in Kenntnis des Passworts gelangen sollten, bleibt ihnen der Zugang zu FIDO2-gesch\u00fctzten Konten aufgrund mehrerer Faktoren verwehrt.<\/p>\n

Doch auch das FIDO2-Verfahren bringt Nachteile mit sich: Noch existieren nur wenige Webservices, die FIDO2-Authentifizierungen anbieten \u2013 und das ist die Grundvoraussetzung f\u00fcr die Nutzung. Wenn passwortfreie Log-ins m\u00f6glich sind, so entstehen Kosten f\u00fcr die externen Sicherheitstokens. Das ist insbesondere f\u00fcr Unternehmen relevant, in denen alle Mitarbeitenden separate Sicherheitsschl\u00fcssel ben\u00f6tigen.<\/p>\n

Wenngleich das Merken des Passworts wegf\u00e4llt, so setzt diese Authentifizierungsmethode doch zus\u00e4tzliche Schritte voraus, wenn im Rahmen der Multi-Faktor-Authentifizierung erg\u00e4nzende Komponenten implementiert werden sollen. Nutzende, die sich mehrmals t\u00e4glich anmelden m\u00fcssen, sollten bedenken, dass FIDO2 so nicht zu den effizientesten Log-in-Techniken z\u00e4hlt. Jedoch lassen sich Sicherheitsstufen je nach Bedarf und Anwendung\/ Nutzer:in konfigurieren: Als Ein-, Zwei- sowie Multi-Faktor-Authentifizierung (1FA, 2FA und MFA).<\/p>\n

FIDO2 steckt noch in den Kinderschuhen<\/h2>\n

Sie sehen: FIDO2 hat zahlreiche Vorteile \u2013 und wenn nicht mehrmals t\u00e4glich Log-ins mit mehreren Faktoren notwendig sind, geh\u00f6rt auch ein erh\u00f6hter Komfort zu diesen Vorteilen. Doch jeder Standard kann nur so gut sein wie die Zahl jener, die ihn anwenden: Eine breitgef\u00e4cherte Unterst\u00fctzung ist entscheidend, und diese fehlt noch.<\/p>\n

Dennoch: Da in der FIDO-Allianz global f\u00fchrende Unternehmen zusammengefunden haben, ist davon auszugehen, dass sich die Verbreitung schnell erh\u00f6hen wird. Mit Intel, Microsoft, Google, Qualcomm oder Samsung finden sich gen\u00fcgend Tech-Giganten, die dabei helfen werden, FIDO2 aus den Kinderschuhen zu bekommen, in denen das Verfahren derzeit noch steckt. So findet sich bereits in den aktuellen Versionen der Betriebssysteme Android, iOS, macOS und Windows Unterst\u00fctzung f\u00fcr FIDO2, sodass Ger\u00e4tesensoren wie Fingerabdruckscanner bereits zum Authentifizieren genutzt werden.<\/p>\n