Sicher ohne Passwort - FIDO2

    Heinz Mathys  29 November 2019 18:16:10
    Das Ende des Zeitalters der Passwörter ist möglich. Kann wirklich auf das oftmals unbeliebte Passwort kann verzichtet werden?

    Wie das geht?

    Das Verfahren mittels FIDO2 ist bereits im Detail an verschiedenen Orten beschrieben worden. Dennoch anbei die wesentlichen Elemente der Lösung:
    1.        Auf einem Sicherheitsschlüssel (auch Authenticator genannt), einem Stück Hardware wird der verwendete Schlüssel sicher generiert und abgespeichert.
    2.        Pro Dienst hat jeder User einen separaten Schüssel (Public-Private-Key). Dabei sollte der Private-Key nicht auslesbar sein, weshalb eine separate Hardware hierfür elementar ist. Es ist zwar möglich dies auch mit einer Software-Lösung zu 'emulieren'. Es ist jedoch einfacher, dies mit geeigneter Hardware zu implementieren.
    3.        Der User meldet sich mit einer One-Time-Password-Challenge im Hintergrund beim Dienst an, dies geschieht automatisch und der User merkt davon im Normalfall nichts.
    4.        Der Dienst speichert sich den öffentlichen Schlüssel mit welchem die One-Time-Password-Challenge zwischen Client und Server validiert wird.

    Mit FIDO2 könnte somit eine grosse Revolution in der IT-Branche eingeläutet werden.

    Wichtige Funktionalitäten des Sicherheitsschlüssels:
    1.        Der sogenannte Resident-Key sollte auf dem Sicherheitsschlüssel abgespeichert werden können. Ansonsten wird dieser Sicherheitsschlüssel beim Anbieter verschlüsselt abgelegt, womit ein wesentlicher Sicherheitsvorteil von FIDO2 verloren geht.
    2.        Der Sicherheitsschlüssel sollte das User-Verification-Verfahren unterstützen. Dieses ältere Verfahren wird auch FIDO1 oder U2F genannt.

    Nützliche Zusatzfunktionen:
    1.        Generieren von Einmalpasswörtern nach dem OTP-Verfahren
    2.        Einsatz als OpenPGP- Smartcard, resp. als Ersatz von Smartcards

    Image:Sicher ohne Passwort - FIDO2

    Die FIDO2-Schlüssel haben wir erhalten und ich warte nun gespannt auf die ersten Test-Läufe.
    Comments
    No Comments Found