Die Anmeldung soll einfach und sicher sein

Keine Anmelde-Kopfschmerzen: Mit Fido 2 sollen Passwörter überflüssig werden – und Apple, Google und Microsoft wollen vorangehen. © Uwe Umstätter/Westend61/dpa-tmn

Passwörter könnten bald Geschichte sein: Denn Apple, Google und Microsoft wollen 2023 die passwortfreie Anmeldung einführen. Sie soll nicht nur bequem, sondern auch sicher sein. Wie ist es möglich?

Hannover – Die Liste der Regeln für gute Passwörter ist lang: Sie sollten möglichst viele Zeichen lang sein und nicht mehrfach für verschiedene Dienste verwendet werden. Offensichtlich nimmt dies vielen Menschen zu viel Zeit in Anspruch oder überfordert sie einfach.

Auch 2021 führt die Zahlenreihe „123456“ die jährlich vom Hasso-Plattner-Institut veröffentlichte Liste der zehn beliebtesten Passwörter an. Aber auch starke und einzigartige Passwörter können abgefangen oder gestohlen werden.

Und der Two-Step-Login (Zwei-Faktor-Authentifizierung/2FA), der neben einem Passwort noch einen zweiten Faktor verifiziert (z. B. einen von einer 2FA-App generierten Code oder einen Fingerabdruck), erhöht zwar die Sicherheit, macht das Einloggen aber nicht einfacher.

Einfach passwortlos ist die Lösung

Es gibt eine Lösung für diese Probleme, die einfach darin besteht, das Passwort selbst obsolet zu machen. Die Rede ist von Fido (Fast Identity Online), was auf Deutsch so viel wie schnelle Online-Identifikation bedeutet. Fido steht für eine Reihe von IT-Sicherheitsstandards.

Das neueste, Fido 2, zielt darauf ab, eine sichere, passwortfreie Anmeldung bei Online-Diensten zu ermöglichen. Dann könnte das Passwort ausgedient haben. Aber wie funktioniert es? Wenn Sie sich über Fido 2 anmelden möchten, müssen Sie zunächst ein Gerät bei dem entsprechenden Dienst registrieren.

Dies kann mit einem Smartphone, Tablet oder Computer erfolgen. Bei der Registrierung werden durch mathematische Verfahren zwei kryptographische Zeichenfolgen erzeugt, die zusammen ein Paar bilden: einen öffentlichen Schlüssel und einen privaten Schlüssel. Der Dienst erhält den öffentlichen Schlüssel, der geheime Schlüssel wird im Gerät gespeichert, das damit zum sogenannten Authenticator wird.

Die Signatur funktioniert wie eine klassische Signatur

Wenn Sie sich nun anmelden möchten, erstellt das Gerät mit dem geheimen Schlüssel eine digitale Signatur. Diese kann der Dienst nun mit dem öffentlichen Schlüssel auf Echtheit prüfen.

Das funktioniert im Prinzip wie eine klassische Papiersignatur, erklärt Prof. Markus Durmuth vom Institut für IT-Sicherheit der Leibniz Universität Hannover. „Nur ich weiß, mit welchem ​​Schwung ich die Unterschrift schreibe – das kann jeder mit einem Vergleichsmuster überprüfen.“

Das Verfahren ist sicherer als ein Passwort, da der private Schlüssel nur im Besitz des Benutzers ist. Passwörter hingegen sind Geheimnisse, die über Tastaturen eingegeben werden: Sie können lokal oder unterwegs über das Netzwerk abgefangen werden.

Zudem werden Passwörter auch verschlüsselt beim jeweiligen Dienst gespeichert, damit das vom Nutzer eingegebene Passwort verglichen werden kann, sagt Durmuth. Im Vergleich dazu liegt das Passwort kurzzeitig im Klartext vor, was ein Sicherheitsrisiko darstellt.

Fido 2 hingegen bietet noch mehr Sicherheit: Die digitale Signatur enthält einen Zeitstempel, sagt Durmuth. Selbst wenn es Angreifern gelingt, die Signatur abzufangen, können sie diese später nicht verwenden.

Ein spezieller Chip speichert den Schlüssel

Zudem wird der private Schlüssel, auch Geheimnis genannt, auf den Authentifizierungsgeräten geschützt: Der Schlüssel wird auf den Geräten im sogenannten Trusted Platform Module (TPM) gespeichert, erklärt Jan Mahn vom Fachmagazin „c’t “. “Das sind Hardware-Chips, die so konzipiert sind, dass sie keinen Ausweg für das Geheimnis haben.”

Der private Schlüssel wird einmalig im Gerät berechnet und dort gespeichert. Beim Login verlässt laut Mahn nur diese Signatur das Gerät, nicht der private Schlüssel selbst. TPMs mit Krypto-Chips sind mittlerweile in den meisten Smartphones sowie neueren PCs und Laptops zu finden. Microsoft hat TPM sogar zur Voraussetzung für die Installation von Windows 11 auf Computern gemacht.

Falls Sie noch einen älteren Computer oder ein älteres Smartphone ohne TPM haben, können Sie den privaten Schlüssel auch auf Sticks speichern, die per USB (Computer) oder NFC (Smartphone) verbunden sind. Diese Sticks mit eingebetteten Kryptochips werden auch Token genannt und können nicht nur das Passwort in Fido 2 ersetzen.

Als Passwortersatz oder zweiten Faktor einfügen

Je nach Dienst kann auch ein USB-Token als zweiter Faktor dienen. Ist der Stick in das Gerät eingesteckt, müssen Sie nur noch eine PIN eingeben oder sich per Fingerabdruck authentifizieren, wenn der Stick dafür einen Sensor hat. Denn auch 2FA gehört zu den Standards von Fido.

Was aber, wenn der Nutzer das Smartphone verliert, auf dem sich der Private Key befindet? „Die offizielle Empfehlung für Fido 2 lautet, zwei Geräte zu registrieren“, sagt Prof. Durmuth. Das zweite Gerät muss kein Smartphone oder Computer sein: Auch ein sicher gespeicherter USB-Token kann als Backup verwendet werden.

Jahn Mahn nennt eine weitere Möglichkeit, im Notfall einen Account zu bekommen: Viele Dienste geben bei der Registrierung einen Backup-Code aus. Am besten notierst du es auf Papier und bewahrst es an einem sicheren Ort auf.

Ein Schlüssel zur Cloud?

Eine relativ neue Idee, um das Verlustproblem zu lösen und für den Nutzer noch komfortabler zu gestalten, ist auch, den privaten Schlüssel in der Cloud zu speichern, d.h. auf Internetservern oder synchronisieren Sie sie über das Internet zwischen Geräten. So geht beispielsweise Apple bei der Umsetzung des Fido-2-Standards vor.

Grundsätzlich geht mit dem Wechsel in die Cloud etwas Sicherheit verloren. Angesichts der besseren Bedienbarkeit des Fido 2 sei dies aber gerechtfertigt, sagt Markus Durmuth. Cloud-Speicher sind zudem besonders sicher.

Hinter dem offenen und lizenzfreien Fido-Standard steht die nicht-kommerzielle Fido Alliance. Viele Unternehmen, Dienstleister und Behörden schlossen sich zusammen.

Das ist es, was Technologieunternehmen beabsichtigen

Anfang Mai 2022 gaben Apple, Google und Microsoft gemeinsam ihre Absicht bekannt, Fido 2 bis 2023 um zusätzliche Funktionen zu erweitern. Benutzer sollten auf einer Vielzahl von Geräten – einschließlich neuer – automatisch auf Anmeldeinformationen zugreifen können, ohne sich erneut anmelden zu müssen jedes Konto. Es sollte auch möglich sein, ein mobiles Gerät als Authentifikator zu verwenden, um sich bei einer App oder Website auf einem anderen Gerät in der Nähe anzumelden, unabhängig von Betriebssystem oder Browser.

Microsoft hat bereits die passwortlose Anmeldung für die Webversion von Outlook und für sein Xbox Live-Gaming-Netzwerk eingeführt. Es kann in den erweiterten Sicherheitseinstellungen des Microsoft-Kontos aktiviert werden.

Und Dropbox, Google oder Twitter unterstützen Fido 2 zumindest als zweiten Faktor per USB-Token, App oder SMS, auch wenn es meist nicht um Fido 2 geht, sondern um einen Security Key oder Access Key.

Fido 2 ist nur so sicher wie sein Einsatz

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist Mitglied der Fido Alliance. Die Agentur bewertet den Fido-2-Standard laut einem Sprecher der Agentur in vielen Aspekten positiv. Ein wirklicher Sicherheitsgewinn ergibt sich jedoch nur, wenn das Authentifizierungsgerät richtig gesichert ist.

Für ein höheres Sicherheitsniveau sollte laut BSI auch unabhängig verifiziert und zertifiziert werden, wie beispielsweise der Fido-2-Standard auf einer Website implementiert wird. Denn Sicherheit hängt immer davon ab, wie der jeweilige Anbieter Fido 2 für seinen Dienst implementiert.

Aktivieren Sie 2FA und Passwortersetzung, wenn möglich

„IT-Sicherheit sollte den Angreifer idealerweise ärgern“, sagt Jan Man – und die Nutzer so wenig wie möglich. „Das bewältigt Fido 2, insbesondere bei neuen Implementierungen.“ Mit den meisten Android-, iOS- und MacOS-Geräten, aber auch Windows, ist es jetzt sehr einfach, Fido 2 mit vorhandener Hardware zu verwenden.

Mahn rät, die Sicherheitsoptionen in den Account-Einstellungen des jeweiligen Dienstes zu prüfen und möglichst Fido 2 zu nutzen: entweder als Fallback-Passwort oder als zweiten Faktor. dpa