{"version":1,"type":"rich","provider_name":"Libsyn","provider_url":"https:\/\/www.libsyn.com","height":90,"width":600,"title":"#115 - Was steckt hinter FIDO und FIDO2?","description":"Die Abk\u00fcrzung FIDO steht f\u00fcr Fast IDentity Online und erm\u00f6glicht, vereinfacht formuliert, eine starke und sichere Authentifizierung im Internet- und das ganz ohne Passw\u00f6rter. Wie sie bereits wissen, gilt die Kombination von Benutzername und Passwort l\u00e4ngst nicht mehr als der heilige Gral, wenn es um die sichere Authentifizierung im Internet geht. So wurde 2013 die FIDO-Allianz gegr\u00fcndet. Die gemeinn\u00fctzige Organisation hat das Ziel gemeinsam mit vielen verschiedenen Unternehmen, offene und lizenzfreie Standards f\u00fcr die weltweite Authentifizierung im Internet zu entwickeln und so die Online-Sicherheit signifikant zu erh\u00f6hen. Um dieses Ziel zu erreichen, hat die FIDO-Allianz bis 2014 zwei lizenzfreie Standards entwickelt, die unter den Namen U2F und UAF bekannt sind. U2F ist die Abk\u00fcrzung f\u00fcr universeller zweiter Faktor. Der Standard beschreibt eine allgemeine Zwei-Faktor-Authentifizierung. Das bedeutet, dass man mit U2F bereits existierendes Verfahren zur Benutzerauthentifizierung mit einem zus\u00e4tzlichen Faktor absichert. Diese Erweiterung kann z.B. die Benutzung eines Tokens beispielsweise ein USB-Stick sein, welches Informationen beinhaltet die die Authentifizierung erst erm\u00f6glichen. Der zweite Standard ist UAF, was f\u00fcr universelles Rahmenwerk zur Authentifizierung steht. Der Standard beschreibt, wie man sich im Internet ohne Passwort authentifiziert. Hierzu k\u00f6nnen biometrische Verfahren zum Einsatz kommen, sodass ein Benutzer aufgefordert wird sich z.B. per Fingerabdruck an einem Ger\u00e4t zu authentifizieren.  Das Besondere an diesem Verfahren ist, dass der Fingerabdruck nicht an den Server weitergeleitet wird, sondern nur zu einer lokalen Authentifizierung beitr\u00e4gt, sprich der Nutzer authentifiziert sich nur gegen\u00fcber einem lokalen Ger\u00e4t, einem sogenannten FIDO Authenticator. Das kann beispielsweise ein Smartphone sein. Nach der lokalen Authentifizierung wird von dem Ger\u00e4t die asymmetrische Kryptographie verwendet, um den Benutzer am Server authentifizieren zu k\u00f6nnen. Mit dem FIDO2 Projekt wurden die beiden FIDO-Standards U2F und UAF weiterentwickelt. FIDO2 besteht aus einer Web-Authentifizierungsspezifikation, bekannt als WebAuthn, welches f\u00fcr die Browser-Server-Kommunikation zust\u00e4ndig ist und das entsprechende Client-to-Authenticator-Protokoll, kurz CTAP-Protokoll, welches die Browser-Authenticator-Kommunikation definiert. Der neue FIDO2-Standard ersetzt das herk\u00f6mmliche Passwort und f\u00fchrt folgende Sicherheitslevel f\u00fcr die Authentifizierung ein: Die Ein-Faktor-Authentifizierung: Hier wird das Passwort durch den Besitz des Authenticators ersetzt. Die Zwei Faktor Authentifizierung: Hier wird das Passwort durch den Authenticator und die Kenntnis \u00fcber eine PIN, die zuvor im Authenticator gesetzt wurde, ersetzt. Die Erg\u00e4nzung zu den bisherigen Standards besteht darin, dass mit FIDO2 nicht nur der Besitz des Authenticators, sondern durch die Verwendung eines PIN f\u00fcr den Token auch Wissen nachweisbar ist und damit g\u00e4nzlich auf Passw\u00f6rter verzichtet werden kann.   Wie funktioniert der Authentifizierungsprozess nun genau? Den Authentifizierungsprozess \u00fcbernimmt ein Challenge-Response-Verfahren, wobei der Browser bei Authentifizierung an Webseiten die Rolle eines Relays \u00fcbernimmt. Im Detail verh\u00e4lt sich das wie folgt: Die Webseite sendet eine Challenge an den Client-Browser, dieser leitet die Challenge mit weiteren Daten an den Authenticator weiter. Der Authenticator fragt die bei der Registrierung zuvor eingerichtete Zugangsberechtigung (privater Schl\u00fcssel) ab und \u00fcberpr\u00fcft Wissen des Benutzers (PIN). Sind diese Schritte erfolgreich, erzeugt er eine digitale Signatur der Challenge und \u00fcbergibt diese an den Browser. Der Browser reicht die signierte Challenge an die Webseite weiter, welche die Signatur \u00fcberpr\u00fcft und bei erfolgreicher Verifizierung den Client authentifiziert Der Vorteil von der FIDO- Authentifizierung ist, dass sie auf die fortschrittlichere Challenge-Response Technik setzen, bei der das geteilte Geheimnis (der Private-Key) den Authenticator nicht verl\u00e4sst und damit nicht \u00fcbertragen werden muss. Dies hat vor allem beim Kompromittieren eines Endger\u00e4ts betr\u00e4chtliche Vorteile, da Malware wie Keylogger keine Chance bekommen, Informationen abzugreifen, die eine Authentifizierung bei einem Dienst erm\u00f6glichen. Auf der anderen Seite muss man f\u00fcr den Fall eines Authenticator-Verlusts wichtige Vorkehrungen treffen: Entweder man richtet mehrere Authenticatoren ein, um sich im Falle eines Verlustes nicht auszusperren oder man muss auf Restore Codes zur\u00fcckgreifen. Ein letztes Wort zum Schluss: In einer Zeit, in der sich die Online-Sicherheitslage drastisch verschlechtert, wird die Erfindung und Einf\u00fchrung von offenen Authentifizierungsstandards immer wichtiger. Ger\u00e4te, die mit FIDO und FIDO2 kompatibel sind, bieten das H\u00f6chstma\u00df an Schutz vor Phishing- und Man-in-the-Middle-Angriffen. Mittlerweile haben mehrere gro\u00dfe Webbrowser, darunter Chrome, Firefox und Microsoft Edge, die Standards bereits implementiert. Android und Windows 10 verf\u00fcgen au\u00dferdem \u00fcber integrierte Unterst\u00fctzung f\u00fcr die FIDO-Authentifizierung. Kontakt: Ingo L\u00fccker, ingo.luecker@itleague.de ","author_name":"IT Manager Podcast (DE, german) - Aktuelle IT-Themen vorgestellt und diskutiert","author_url":"https:\/\/www.itleague.de","html":"